咨詢服務熱線
400-6446-808
創安實驗室專欄
您的當前位置:首頁 > 創安實驗室專欄
寫在前面
✎使用mimikatz導出chrome密碼
2022.07.25
在獲取某PC本地administrator的權限情況下(xià),導出使用該PC機域普通賬号的密碼。
受害機ip:
192.168.3.4
受害機賬戶:
· 本地管理員(yuán):administrator/toor
· 域普通賬戶:beta\fengjie/qqq123!@#
chrome儲存的明文密碼時使用windows提供的DPAPI進行對稱加密來保證安全性。加解密的密鑰稱爲master key。master key被用戶登錄密碼、SID和16字節随機數加密後保存在Master Key file(%APPDATA%\Microsoft\Protect\%SID%)中(zhōng)。
最簡單的情況:A用戶拖A自己的密碼
在A用戶登陸狀态B解密A的chrome密碼
在用戶登陸狀态下(xià)可以直接用procdump或者mimikatz直接從内存中(zhōng)獲取master key。
Alt text
獲取到masterkey
接下(xià)來用mimikatz一(yī)把梭就可以了
最開(kāi)始用wmiexec并未解密成功
Alt text
後來發現是wmiexec的鍋換成psexec就好了(用smbexec也可以,懷疑是因爲用wmiexec時令牌完整性受限的原因,知(zhī)道的師傅請教我(wǒ)一(yī)手)
Alt text
在A用戶離(lí)線狀态B解密A的chrome密碼
現在用mimikatz重新抓已經抓不到fengjie的master key了
Alt text
用戶明文密碼已知(zhī)
這種情況下(xià)有兩種方法可以選擇。
1.如果我(wǒ)們知(zhī)道fengjie的明文密碼,可以用runas降權(或者進行一(yī)些spwan的操作降權),降權之後又(yòu)回到了最簡單的情況。(因爲runas需要交互式shell,所以這種方法比較雞肋)
2.在沒有交互式的情況下(xià)可以直接用mimikatz直接算出master key。
Alt text
拿到master key後情況又(yòu)相當于又(yòu)轉換回了用戶在線的情景。
用戶明文密碼未知(zhī),知(zhī)道NTLM hash
Alt text
簡單的說就是三種情況:
●
A用戶獲取自己chrome密碼不需要知(zhī)道master key
●
A獲取B用戶,如果B用戶在線,那麽可以直接從内存中(zhōng)抓取出B的maste key
●
A獲取B用戶,B不在線,就需要用b用戶的明文密碼或者NTLM hash計算出master key,在回到上面一(yī)步。
本文由創信華通創安攻防實驗室編輯。
本文僅限于個人學習和技術研究,由于傳播、利用此文所提供的信息而造成刑事案件、非授權攻擊等違法行爲,均由使用者本人負責,本單位不爲此承擔任何責任。創安攻防實驗室擁有對此文章的修改和解釋權,如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部内容。
如有侵權,請聯系後台。
●
創安攻防實驗室
創安攻防實驗室,是天慕卓越(深圳)網絡科技有限公司旗下(xià)的技術研究團隊,成立于2021年9月,主要研究紅藍(lán)對抗、重大(dà)安全保障、應急響應等方向。
創安攻防實驗室圓滿完成了多次公安舉辦的重要網絡安全保障和攻防演習活動,并積極參加各類網絡安全競賽,屢獲殊榮。
創安攻防實驗室秉承創信華通的發展理念,緻力打造國内一(yī)流網絡安全團隊。
·END·
