危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2306 浏览20612697

小试神器——明文密码任意显

一直以来,危险漫步都是走“注入-进后台拿“webShell”的路子。后来尝试过旁注,期间见识到了提权的艰辛(还不一定会成功),也因此而关注了像MS08-067、MSll-046.exe之类的漏洞利用工具。可惜很多的此类Exp程序都已经失效了——年代过于久远,目标服务器早已打上补丁堵住了漏洞,于是危险漫步最近比较关注是否有最新的漏洞利用工具出现,以便在第一时间内拿到后武装自己。所谓“功夫不负有心人”,那天在网上看到了“轻量级调试器牛X神器mimikatz”,是前不久发布的,据说是个法国佬写的可以直接从lsass.exe中获取Windows下处于active状态账号明文密码的小工具。是否有效呢?我们就来做个小小的测试吧!

首先在自己的Win7本地机器上测试一下:

解压缩mimikatz_trunk.zip之后会生成三个目录,只须双击打开Win32目录中的mimikatz.exe即可弹出“mimikatz l.0 x86 (alpha)”窗口,命令提示符是“mimikatz≠≠”。输入命令“privilege::debug”后回车,提示:SeDebugPrivilege:OK;接着进行DLL的注入,输入命令“inject::process lsass.exe sekurlsa.dll”后回车,出现六七行提示,因为貌似有法语,危险漫步也没看懂什么意思,不过并不耽误整体工作;准备工作已经做完,最后就是进行密码的抓取了,输入命令“@getLogonPasswords”后回车,很快就出现了一大堆信息,其中果然就有自己登录账号( Administrator)的密码,是明文的!

法国佬对此的解释是Windows账号登录时输入的密码在经过lsass.exe中的wdigest和tspkg两个模块调用后,虽然进行了加密处理但并未进行攘除,而且这种加密通过特征能够进行定位,从而可以再按照微软的算法进行可逆破解。也就是说,只要是服务器开机后登录过的账号,只要机器没有重启就都可以抓出明文密码来(即使注销也逃不过——内存中的密码并没有清除),绝对强悍!

再试一下3389远程机器:本来,按照法国佬的说法“通常你在远程终端中运行该程序会提示:存储空间不足,无法处理此命令。这是因为在终端模式下,不能插入远线程,跨会话不能注入……”,因此提供给我们PsExec.exe、mimikatz.exe和sekurlsa.dll三个文件(在mimikatz_trunk.zip压缩包中都有),而且这些工具不能放在服务器的中文名称目录下运行(怕加载DLL时报错),然后提供了像使用PsExec.exe启动、At命令启动、创建服务以及Telnet远程命令管道等好几种方法。不过呢,或许是危险漫步RP好,根本没用这些招数,直接在3389远程机器上试验成功,过程如下:

先是通过TeamViewer远程登录到自己单位的一台视频处理服务器(Win XP),然后以此为跳板3389远程登录处于同一内网的一台光盘刻录服务器(IP为10.81.21.246)。测试方法与在本地机上几乎完全一样:上传压缩包后解压,双击运行mimikatz.exe,然后依次输入“privilege::debug”、“inject::processlsass.exesekurlsa.dll”和“@getLogonPasswords”命令,最后也是非常顺利地成功抓取到登录账号(North mxd)的明文密码。

最后一句:“神器”除了在XP和Win7上有效之外,同样也适用于Win Server 2003/2008。