Sostituzione delle credenziali del dominio memorizzato nella cache nell'hive SECURITY

7

Windows memorizza gli hash (NTLM) delle password degli utenti locali nell'hive SAM . Avviando da un sistema live (per esempio), non si possono solo estrarre quegli hash per cracking offline, ma semplicemente sostituire l'hash con quello di una password conosciuta (ad esempio, chntpw in Kali Linux è uno strumento che eccelle in questo compito). Allo stesso modo, si può trasformare un utente normale in un utente amministratore e abilitare / disabilitare gli utenti. Fin qui, tutto bene.

In modo simile, ma diverso, gli hash delle password degli account di dominio degli utenti che hanno precedentemente effettuato l'accesso sul computer sono memorizzati nell'hive SECURITY in modo che un utente possa effettuare nuovamente il login anche quando sono fuori dalla rete . Strumenti come cachedump possono estrarre quegli hash per cracking offline. Tuttavia, a causa del diverso algoritmo di hash utilizzato, la maggior parte degli strumenti (tutti?) Che possono sostituire gli hash in SAM non possono fare lo stesso in SECURITY .

Ora la mia domanda: è possibile sostituire l'hash della password memorizzata nella cache di un utente di dominio con quella di una password conosciuta, per poi riavviare il sistema e accedere con la password conosciuta (bonus punti per le risposte specifiche per Windows 10, nel caso ci siano differenze rispetto alle versioni precedenti)? Questo ovviamente presuppone che il dispositivo sia fuori dalla rete, quindi Windows non può controllare la password online con il controller di dominio.

    
posta TheWolf 05.04.2018 - 11:42
fonte

1 risposta

3

Now my question: Is it possible to replace the cached password hash of a domain > user with that of a known password, in order to then reboot the system and log > in with the known password

Sì, questo è possibile con l'ultima versione di mimikatz (disponibile nella pagina delle versioni di gentilkiwi / mimikatz account github).

Tuttavia, ho scoperto che per poter utilizzare questa funzionalità su un sistema con più utenti di dominio è possibile che sia necessario specificare due argomenti (il nome utente e il flag kiwi)

# lsadump::cache /user:<username> /kiwi

Dopo aver eseguito questo comando, le credenziali del dominio memorizzate nella cache verranno sostituite con la password predefinita di mimikatz (che è "mimikatz")! Se preferisci impostare una password diversa da "mimikatz" usa il comando:

# lsadump::cache /user:<username> /password:<password-to-set> /kiwi
    
risposta data 09.05.2018 - 22:40
fonte

Leggi altre domande sui tag