寻找活动目录中使用可逆加密存储密码的账户

访客4年前黑客文章792

密码安全问题一直都受到个人和企业的关注。对于个人而言,或许仅仅只是个人隐私的被公开,而对于企业而言则可能会是灾难性的。为了避免出现这种情况,越来越多的企业都开始使用一些不可逆,且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或个人,仍在使用可逆加密存储其账户密码。一旦使用可逆加密,即使你的密码设置的非常长也可以被攻击者轻易的破解。

说到破解,Hashcat绝对是我的首选工。我可以一边开着Hashcat,一边做其它的事情。可能只需几分钟,几个小时或短短的几天,Hashcat就能为我得到我想要的一切!

Hashcat的工作原理也很简单。首先,它会获取潜在的密码(例如Autumn2018)并计算其哈希值。然后,Hashcat将新计算的代表Autumn2018的哈希值,与你给出的哈希值列表进行比较。如果找到一个或多个匹配项,则表示这些帐户使用的密码为Autumn2018。



好了,话不多说!下面进入我们的正题。

这一切都始于从域控中提取哈希值。通常我们需要先将权限提升为域管并登录到域控才能获取到这些文件。但在某些特殊情况下,可能会存在一个可供较低权限帐户访问的备份文件,该文件包含Active Directory(AD)数据库。

由于当前的AD数据库出于活动运行状态,因此我们无法复制该文件(使用时会被系统锁定)。为此,我创建了一个VSS快照并将ntds.dit文件与包含提取哈希所需的BOOTKEY的SYSTEM注册表hive一起复制。我通常使用内置的ntdsutil命令来执行此操作,如下所示:



然后,我们可以使用Impacket secretsdump Python脚本来从数据库中提取哈希值。

secretsdump.py -system SYSTEM -ntds ntds.dit LOCAL -outputfile breakme
我原本只想获取包含NTLM哈希值的*.NTDS文件。但在测试中我意外的发现,脚本还会输出了扩展名为“.CLEARTEXT”的文件。



secretsdump脚本使用outputfile参数指定,将所有哈希写入前缀为“breakme”的文件。在这个过程中我们发现了NTLM哈希,cleartext哈希,以及Kerberos 密钥。在“CLEARTEXT”文件中包含了相关用户的明文密码,其中包括几个长度为128个字符的密码!



说实话,做了这么多的测试任务这是我头一次碰到这种情况。文件中包含的用户账户和相应的密码一目了然,没有任何的加密保护措施!我立即检查了其中的一些账户(呵呵~其中竟有一个域管理员的账户),经过验证域管的账户密码为真实可用密码!经过一番调查,我了解到至少有几种不同的机制会强制存储明文凭据。

注:Cleartext(明文)并不意味着密码就是按原样存储。它们一般会使用RC4加密形式存储。而用于加密和解密的密钥是SYSKEY,它被存储在注册表中,可以由域管理员提取。这意味着哈希值可逆为明文,因此我们称它为“可逆加密”。

对于使用可逆加密存储密码的帐户,Active Directory用户和计算机(ADUC)中的帐户属性,会显示使用可逆加密存储密码的复选框。如下所示:



你可以使用以下PowerShell命令,来查询AD活动目录中UserAccountControl属性中设置了可逆加密标志的任何用户:

Get-ADUser  -Filter  ‘useraccountcontrol  -band  128’  -Properties useraccountcontrol  | Format-Table name, samaccountname,useraccountcontrol


那么,为什么要支持这种不安全的可逆加密存储呢?答案是为了满足某些应用程序的需要。因此,微软为需要知道用户密码值的应用程序提供了一种机制,就是强制存储可逆加密的密码,以便对用户进行身份验证。我所知道的需要可逆加密的应用程序是MS CHAP, SASL Digest身份验证,需要对Windows域进行身份验证的旧版MacOS主机。也很可能还有其他一些我不知道的,第三方应用程序也需要用到。

以下是微软关于该设置的更佳实践提示:



即使它需要域管理员使用上面的 *** ,从Active Directory数据库中提取哈希值,也意味着DA(或被盗取的DA帐户)可以轻松地学习其他用户的密码。这违反了不可否认原则。不可否认性的目的是为解决有关事件或行为是否发生过纠纷,而对涉及被声称事件或行为不可辩驳的证据进行收集、维护和使其可用并且证实。
我们经常发现包含VSS快照的备份可以访问AD数据库。备份文件通常可由较低权限的帐户访问,甚至是所有的域用户。在这种情况下,任何域用户都可以轻松访问,使用可逆加密存储的任何帐户密码。
下面,我来分解下之前那条使用PowerShell从AD中提取使用可逆加密存储密码用户的命令。

Get-ADUser  -Filter  ‘useraccountcontrol  -band  128’  -Properties useraccountcontrol  | Format-Table name, samaccountname,useraccountcontrol
Get-ADUser – 是Active Directory PowerShell模块中的cmdlet,默认情况下安装在Windows Server 2008 R2及更高版本上。可以使用Import-Module命令导入它。



Filter – 使用PowerShell表达式告诉cmdlet搜索参数是什么。这里,我们搜索的是具有特定UserAccountControl属性值的用户帐户。

你也可以使用LDAPFilter,它与Filter是相同的,但使用的是LDAP查询语法。查找所需UserAccountControl值的正确语法如下:

Get-ADUser -LDAPFilter “(&(objectCategory=Person)(UserAccountControl:1.2.840.113556.1.4.803:=128))” -Properties useraccountcontrol | Format-Table name,samaccountname


useraccountcontrol -band 128

AD中的UserAccountControl属性是与用户帐户的设置相关联的属性,长度为32位。每个位代表有关该用户帐户的特定设置。例如,当帐户被禁用时,第二个低位被设置为“1”。在可逆加密的情况下,将第8个低位设置为“1”。第8个低位对应于十进制值128。

要访问其中特定位的值,必须使用逻辑位级操作。了解有关更多按位操作的信息,请点击这里(或此处)查看。在我们的示例中,-band 128表示使用值为128的按位AND运算,来确定其是否设置了第8个低位(无论在32位数内设置了哪些其它位)。



如果使用LDAPFilter,则可以通过LDAP语法1.2.840.113556.1.4.803来指定按位操作。通过指定值128,我们请求返回第8个低位设置为“1”的所有记录。



Properties useraccountcontrol

由于Get-ADUser命令检索不包含UserAccountControl属性的默认属性集,因此必须使用-Properties参数在结果中明确进行询问。

Format-Table name, samaccountname,useraccountcontrol

Format-Table命令将告诉PowerShell格式化输出以及要显示的属性。如果你希望结果垂直列出而不是以表格的形式列出,那么你可以使用Format-List命令。



当然,你也可以将结果全部输出到一个文件中….

Get-ADUser  -Filter  ‘useraccountcontrol  -band  128’  -Properties useraccountcontrol  | Format-Table name, samaccountname,useraccountcontrol | Out-File -Encoding ascii MyOutput.txt


*参考来源:blackhillsinfosec  ,FB小编secist编译,转载请注明来自FreeBuf.COM

相关文章

和彩云新用户免费领爱奇艺会员周卡限量

和彩云免费领爱奇艺会员周卡限量 三网网都可以参加,每天限量,如果今天没有库存了就明天再来! 打开地址->选择视频周卡->领取后下载和彩云APP->我的->领...

微信小游戏山海经异变试玩秒提0.3元现金红包 黑号可领

微信小游戏山海经异变试玩秒提0.3米现金红包 黑号可领 微信扫码进入山海经异变小程序,合成2个怪兽就可以获得0.54米现金,可以直接提现0.3米,黑号可以参与,提现秒到账!另外玩游戏每升1级...

百格活动 | 「活动管理手册」首发!

百格活动 | 「活动管理手册」首发!

市场活动作为树立品牌形象、助力用户增长的方式,是大部分互联网公司都会投入的领域之一,而很多企业并没有体系化的流程去举办市场活动,亦或是没有足够的经验导致活动举办过程中频频遇到问题。为此,人人都是产品...

lol血月杀活动是什么(LOL玩血月杀赢奖励活动网址)

lol血月杀活动是什么(LOL玩血月杀赢奖励活动网址)

血月杀模式即将降临国服,想知道在这个模式里有哪些致胜的小细节吗?赶快来看看动图吧! 饱受期待的血月杀模式即将在国服上线。在这个模式下,玩家们需要从20位刺客英雄中选出一位,在腥红之月的照耀下于召唤师...

中国联通免费领取王者荣耀专属流量包 皮肤体验卡 经验卡等

本文是中国联通免费领取王者荣耀专属流量包 皮肤体验卡 经验卡等 活动介绍 活动仅限联通用户参与,进入活动页面输入手机号完成订购,首月订购是免费的,领取完奖励后再退订即可!...

河南户外联盟官网,河南户外联盟活动有哪些!

河南户外联盟官网,河南户外联盟活动有哪些!

12月19日,为期两天的“2018年第五届中部户外行业交流大会”在郑州市闭幕。来自河北、山西、山东、安徽等中部地区六省市的登山户外类相关协会、俱乐部、旅行社及来自内蒙古、湖南、江苏等省市旅游机构、景区...