mimikatz kerberous如何返回纯文本凭据？

Question

我有以下环境：

DC:- Windows server 2008

受害者: Windows 7

攻击者: windows 10

现在我以某种方式破坏了windows 7，然后我将mimikatz加载到米表中。然后，当我键入Kerberos时，它会以纯文本形式返回Kerberos凭据。

我很惊讶它如何在普通的text?.And中返回凭据，我也在寻找一种加密它们的方法。

Answer 1

这是预期的结果。这方面有几个来源：

http://woshub.com/how-to-get-plain-text-passwords-of-windows-users/

例如，用于支持SSO (单点登录)的HTTP摘要身份验证需要用户密码及其散列。加密的用户密码(密码，而不是散列)存储在OS内存中，更具体地说，存储在LSASS.EXE进程内存中。问题是密码加密是使用标准的Win32函数LsaProtectMemory和LsaUnprotectMemory实现的，这些函数用于加密/解密某个内存区域。法国开发人员mimikatz的一个工具允许您从内存中获取加密数据，使用LsaUnprotectMemory函数对它们进行解密，并显示系统中授权用户的所有帐户及其密码(解密，以纯文本形式！)。

https://adsecurity.org/?p=556

由于Windows加密内存中的大多数凭据(LSASS)，它们应该受到保护，但这是一种可逆加密(尽管creds是明文的)。加密适用于LsaProtectMemory，解密适用于LsaUnprotectMemory。NT5加密类型: RC4 & DESx NT6加密类型:3 3DES和AES Mimikatz功能:从LSASS (数据库)转储凭据苏克尔萨模 MSV1.0:散列和密钥(dpapi) Kerberos密码、ekeys、票证和PIN

还有一些背景信息：

https://security.stackexchange.com/questions/38695/preventing-lsass-from-storing-clear-text-passwords-in-kerberos-environment

如果用户在机器上执行键盘交互登录，LSASS存储明文密码是众所周知的安全风险--无论是本地登录到他/她的工作站，还是使用RDP登录远程工作站。

您可以使用组策略或注册表(HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\UseLogonCredential = 0)强制禁用此选项，但它可能会破坏某些兼容性。

如果您的服务器(2008)和客户端(Win 7)被完全修补，还有一种方法可以使用protected users AD组，它为包含的用户禁用这个“功能”。