Módulo Kiwi - Dump Credentials

Depois de conseguir acesso a um servidor através de uma shell reversa, a próxima etapa é fazer a coleta de credenciais para iniciar a movimentação lateral. 

Quando a shell reversa é estabelecida com o Metasploit, é possível usar o módulo Kiwi para fazer a coleta dos hashes de senha da máquina-alvo. Em ambientes windows, os hashes são armazenados no arquivo SAM localizado em %SYSTEMROOT%/System32/config/SAM

Na imagem abaixo é possível ver a conexão do IP 10.10.22.2 (atacante) porta 4545 com o 10.4.18.235 (alvo). Em seguida é feito a migração do processo lsass.exe com o comando:

migrate -N lsass.exe

A ação de "migrar" o processo lsass.exe é feito para mover o processo de um ambiente para outro (de um host para outro). 

Na seguência, iniciamos o módulo Kiwi com o comando:

load kiwi 


O comando para visualizar o hash da senha do administrator e buscar por senhas em texto-claro é: 

creds_all

E é necessário ser usuário SYSTEM na máquina para fazer a coleta, ou seja, é necessário ter feito a escalação de privilégio antes (se a conexão da shell não for privilegiada).


A coleta dos hashes de todas as contas que fizeram login na máquina-alvo pode ser feita com o comando:

lsa_dump_sam


A coleta da syskey é feita com o comando:

lsa_dump_secrets

A syskey é a chave usada para criptografar a senha e gerar o hash. 


O arquivo o SAM é encontrado apenas nas máquinas, isto é, no servidor Domain Controller, as credenciais são armazenadas no arquivo ntds.dit localizado em %SYSTEMROOT%\NTDS\ntds.dit

É possível encontrar senha em texto-claro nas máquinas windows que estão em um domínio? Sim, é possível. 

As situações abaixo quando ocorrem permitem a máquina Windows armazenar a senha em texto-claro na memória. 

[+] Se o domain controller está inalcansável, o kerberos mantém a senha em texto-claro na memória para logins futuros. 

[+] Se o registro do WDigest for alterado para 1: 

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest, UseLogonCredential

[+] Se o registro do CredSSP for alterado para Allow:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaults

[+] Se o registro CredSSP/tspkgs é alterado para Allow: 

HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation


Comentários

Postagens mais visitadas