Задача: Изгнание

Программы PwDump

diff

Verify

Open In Editor
Edit
Copy code
-bash-5.1$ ./pwdump8.exe -f SAM

PwDump v8.2 - dumps windows password hashes - by Fulvio Zanetti & Andrea Petralia @ http://www.blackMath.it

error: must specify at least SYSTEM and SAM in file dump
К сожалению, нам не хватает файла SYSTEM, чтобы этот инструмент работал. Переходим к следующему.
Попробовал модуль DS-Internals в PowerShell. Не помогло.

Используя PwDump5 удалось получить хеш NTLM.

diff

Verify

Open In Editor
Edit
Copy code
-bash-5.1$ ./pwdump5.exe -f SAM

[ Pwdump5 ]

Copyright (c) 2004 AntonYo!
All rights reserved.

user_10052:1066:00000000000000000000000000000000:00000000000000000000000000000000:::
user_10133:1136:00000000000000000000000000000000:00000000000000000000000000000000:::
user_10196:1152:00000000000000000000000000000000:00000000000000000000000000000000:::
user_9979:1456:00000000000000000000000000000000:00000000000000000000000000000000:::
?????????????:500:00000000000000000000000000000000:c7363f755a403c2d6df08dee03e31fcc:?????????? ??????? ?????? ?????????????? ??
????????/??????::
?????:501:00000000000000000000000000000000:00000000000000000000000000000000:?????????? ??????? ?????? ??? ??????? ?????? ? ????
?????? ??? ??????::
Попробовал взломать его с помощью Hashcat.

yaml

Verify

Open In Editor
Edit
Copy code
Session..........: hashcat
Status...........: Exhausted
Hash.Mode........: 1000 (NTLM)
Hash.Target......: c7363f755a403c2d6df08dee03e31fcc
Time.Started.....: Fri Jul 5 23:10:32 2024 (0 secs)
Time.Estimated...: Fri Jul 5 23:10:32 2024 (0 secs)
Kernel.Feature...: Pure Kernel
Guess.Base.......: File (../rockyou-75.txt)
Guess.Queue......: 1/1 (100.00%)
Speed.#1.........: 420.2 kH/s (0.12ms) @ Accel:256 Loops:1 Thr:1 Vec:8
Recovered........: 0/1 (0.00%) Digests (total), 0/1 (0.00%) Digests (new)
Progress.........: 59186/59186 (100.00%)
Rejected.........: 0/59186 (0.00%)
Restore.Point....: 59186/59186 (100.00%)
Restore.Sub.#1...: Salt:0 Amplifier:0-1 Iteration:0-1
Candidate.Engine.: Device Generator
Candidates.#1....: kaylak -> 171183

Started: Fri Jul 5 23:09:59 2024
Stopped: Fri Jul 5 23:10:34 2024
Нет прогресса. Давайте попробуем оригинальный Mimikatz.

https://github.com/gentilkiwi/mimikatz
В данной задаче нам нужно сконцентрироваться на файле mimikatz.sln. В контексте разработки программного обеспечения, особенно с использованием технологий Microsoft, файл .sln относится к файлу решения. Установите Visual Studio с Desktop Development with C++. Также выберите Linux и embedded development with C++.

Установите Windows 10 SDK и MSVC v141build tools. Также выберите MFC и ATL support (x86 and x64) в индивидуальных компонентах.

Установите платформу на x64 или любую другую платформу. Настройте другие параметры и вы можете приступать к работе.

Кажется, что-то постоянно не работает.

Наконец-то, какой-то прогресс.

Оказалось, что нужно отключить режим предупреждений как ошибки.

Наконец-то.

Также отключите реальное время защиты вирусов в Windows во время запуска.

┌──(abu㉿Abuntu)-[/mnt/c/Documents4/CyberSec/Resources/mimikatz/output]
└─$ sudo ./mimikatz.exe

.#####. mimikatz 2.2.0 (x64) #19041 Jul 6 2024 01:38:32
.## ^ ##. "A La Vie, A L'Amour" - (oe.eo)
## / \ ## /*** Benjamin DELPY `gentilkiwi` ( [email protected] )
## \ / ## > https://blog.gentilkiwi.com/mimikatz
'## v ##' Vincent LE TOUX ( [email protected] )
'#####' > https://pingcastle.com / https://mysmartlogon.com ***/

mimikatz # privilege::debug
Privilege '20' OK
Теперь, когда я здесь, давайте посмотрим на безопасность своей собственной системы. Оказывается, она ужасная. Я использую сложные пароли для своих онлайн-аккаунтов и детский для локальной машины. Я использовал этот пароль в качестве ссылки, пытаясь раскрыть его без token::elevate не работает.

mimikatz # token::elevate
Token Id : 0
User name :
SID name : NT AUTHORITY\SYSTEM

844 {<>} 0 D 87666 NT AUTHORITY\SYSTEM <> (04g,31p) Primary
-> Impersonated !
* Process Token : {<>}
Verify

Open In Editor
Edit
Copy code
* Process Token : {<>} 2 F 73346244 ABUNTU\Abu <> (14g,24p) Primary
* Thread Token : {<>} 0 D 73744278 NT AUTHORITY\SYSTEM <> (04g,31p) Impersonation (Delegation)

mimikatz # sekurlsa::logonpasswords

Authentication Id : 0 ; <>(00000000:<>)
Session : Service from 0
User Name : <>
Domain : NT VIRTUAL MACHINE
Logon Server : (null)
Logon Time : 05-07-2024 22:03:00
SID : <>
msv :
tspkg :
wdigest :
* Username : ABUNTU$
* Domain : WORKGROUP
* Password : (null)

Хорошо, давайте вернемся к этой задаче позже.
Вывод

В этом задании мы использовали различные инструменты, такие как PwDump и Mimikatz, чтобы извлечь информацию об учетных записях пользователей из файла SAM. В конце концов, мы смогли получить хеш NT-Authority(ADMIN) NTLM и взломать его с помощью Hashcat.