Windows中凭据管理器的渗透技巧——信息获取

0x00 前言

在后渗透阶段，需要在获得权限后收集目标系统的信息。信息越全面，越有利于进一步渗透。

对于Windows系统，凭据管理器包含非常重要的信息。

它包含什么样的信息，获取的方法有哪些？本文将一一介绍。

0x01 简介

本文将介绍以下内容：

凭据管理器中不同类型的凭据

不同凭证的明文密码获取方法

实物试验

0x02 Credential Manager简介

凭据管理器，从中文翻译为凭据管理器，用于存储凭据(例如，用于网站登录和主机远程连接的用户名和密码)。

如果用户选择存储凭证，那么当用户再次使用相应操作时，系统会自动填写凭证，实现自动登录。

凭据存储在名为vault的特定位置(位于%localappdata%/Microsoft\Vault中)

凭据类别：

有两种类型，即域凭据和通用凭据。

Domain Credentials：

只有本地安全机构(LSA)可以读写它。

也就是说，普通权限无法读取域凭据类型的纯文本密码。

Generic Credentials：

可以被用户进程读写。

也就是说，普通权限可以读取普通凭据类型的明文密码。

参考资料：

https://msdn.microsoft.com/en-us/library/aa380517.aspx

0x03 实际测试

测试1：

测试系统：Win7

访问文件共享\\192.168.62.130

如下图

填写正确的用户名和密码，并选中记住我的凭据。

下次访问时，您无需再次输入用户名和密码。

可以通过控制面板找到添加的凭据。位置是控制面板-用户帐户和家庭安全-凭据管理器。

如下图

密码是加密的，不能直接查看。

注：

文件的凭据类型默认为域凭据。

测试2：

测试系统：Win8

使用IE浏览器访问https://github.com/,网站，成功登录后，选择记录用户名和密码。

通过控制面板访问凭据管理器，如下图所示

注：

从Win8开始，凭证管理器的页面进行了修改(不同于Win7)，增加了Web凭证。

要显示凭证密码，您需要填写当前用户名和密码，如下图所示

注：

浏览器的凭据类型默认为通用凭据。

测试3：

测试系统：Win7

通过控制面板添加普通凭证。Internet地址或网络地址为generic 1，用户名为test1，密码为pass1，如下图所示。

此普通凭证的明文密码无法通过控制面板获取。

0x04 导出Credentials中的明文口令

1、获得系统凭据的基本信息

工具1： vaultcmd(windows系统自带)

常见命令：

制作保险库列表：

vaultcmd /list

注：

不同类型的凭据存储在不同的保险库中。

列出保管库摘要、凭据名称和GUID:

vaultcmd /listschema

注：

GUID对应于路径% local appdata %/Microsoft \ vault \ { GUID }下的文件，如下图所示。

列出名为“Web凭据”的保管库下的所有凭据信息：

vault cmd/list creds:“Web凭据”

注：

如果是中文操作系统，可以用相应的GUID替换名称。该命令如下所示

列出GUID为{ 4bf4c 442-9b8a-41 A0-b380-dd4a 704 db 28 }的保管库下的所有凭据：

vault cmd/list creds:{ 4 bf4c 442-9B8A-41 A0-B380-dd4a 704 DDB 28 }

列出GUID为{ 4bf4c 442-9B8A-41 A0-B380-dd4a 704 DDB 28 }的保管库的属性，包括文件位置、包含的凭据数量以及保护方法：

vault cmd/list properties:{ 4bf4c 442-9B8A-41 A0-B380-dd4a 704 DDB 28 }

工具2：cmdkey

在命令行中输入cmdkey /list列出系统中的Windows凭据。

2、获得Domain Credentials的明文口令

工具：mimikatz

参数：

sekurlsa:登录密码

对应前面测试1，显示在credman位置，如下图所示

注：

Mimikatz不仅可以导出域凭证的明文密码，还可以导出通用凭证的明文密码，但不能导出IE浏览器保存的通用凭证的明文密码。

3、获得Generic Credentials的明文口令

(1) IE浏览器保存的Generic Credentials

工具：Get-VaultCredential.ps1

下载地址：

https://github . com/powershell mafia/PowerSploit/blob/master/exfiliation/Get-vault credential . PS1

对应之前的测试2，Win8系统成功导出明文密码，如下图所示

注：

该脚本还可以获取名为Windows Credential的vault下的凭据信息，但不能获取凭据的明文密码。

补充：

Win7系统下的凭据管理器与Win8不同，多了一个选项。当指定的程序使用该密码时，它会提示我提供权限，如下图所示

选中后，使用powershell脚本读取明文密码时会弹出框提示(无法绕过)，如下图所示

(2) 其他类型的普通票据

工具：Invoke-WCMDump.ps1

下载地址：

https://github . com/peew pw/Invoke-WCMDump/blob/master/Invoke-WCMDump . PS1

对应测试3，可以使用普通用户权限导出普通票据的明文密码，如下图所示。

注：

该脚本还可以导出域凭据的信息(不包括明文密码)。

0x05 小结

本文介绍了获取不同类型的凭据明文密码的方法，并测试了几个工具来帮助您更好地理解这一部分。

留下回复