使用WMI和SMB远程提取Windows系统凭证
需积分: 0 98 浏览量
更新于2024-08-05
收藏 673KB PDF 举报
"远程提取Windows系统的系统凭证是一个红队行动中的常见需求,特别是在有权限的情况下,希望通过隐蔽方式获取更多凭据。本文介绍了一种利用WMI和SMB的方法,涉及的端口包括445/TCP(SMB)、135/TCP(DCOM)、5985/TCP(WinRM)以及5986/TCP(基于SSL的WinRM)。"
在进行远程提取Windows系统凭证的过程中,首先需要满足一定的前提条件。攻击者需要能够访问目标系统的一个开放端口,如135/TCP(DCOM),并且已经在目标系统上获得了管理员级别的权限。通常,攻击者会在本地运行PowerShell,使用DCOM与远程主机建立新的CIM(Common Information Model)会话。
关键步骤如下:
1. **利用WMI创建卷影副本**:Windows Management Instrumentation (WMI) 是一个强大的管理系统组件,可以用来远程执行任务。在这里,它被用来在远程主机上创建系统卷影副本。卷影副本是系统状态的一个快照,包含了系统关键文件,如`SYSTEM`、`SECURITY`和`SAM`。这些文件包含了用户的账号信息和密码哈希,是提取凭证的关键。
2. **通过SMB下载凭据文件**:Server Message Block (SMB) 协议允许文件和打印机共享,攻击者可以通过开放的445/TCP端口下载之前通过WMI创建的卷影副本中的凭证文件。
3. **在域外或使用其他凭据**:如果攻击者不在目标域内或者想使用不同的凭据访问,可以使用`runas.exe`命令。`runas.exe /netonly /user:MyDomain\MyUser powershell.exe`将启动一个新的PowerShell实例,该实例在需要认证时会使用指定的域用户账户。
4. **安全性考虑**:由于这种操作可能引起蓝队的注意,因此必须以最隐蔽的方式进行。使用本机的Windows工具可以减少被检测的风险,因为这些工具通常是系统管理员日常运维的一部分。
5. **工具推荐**:文章提到了两个GitHub项目,`wesng`和`fakelogonscreen`,分别用于提权辅助和伪造系统登录页面,这些工具在红队行动中可能会有用。
远程提取Windows系统凭证是一个复杂的过程,需要对Windows操作系统、网络协议以及安全攻防有深入理解。通过巧妙利用系统内置工具和通信协议,攻击者可以尽可能地保持低调,从而更有效地达到其目的。然而,这样的行为也凸显了加强网络安全防护和监控的重要性,以防止敏感信息被非法获取。
2021-05-03 上传
2011-12-14 上传
2018-08-25 上传
2010-08-30 上传
2022-08-03 上传
2024-01-06 上传
2022-03-28 上传
2009-11-20 上传
2018-01-21 上传
陈后主
- 粉丝: 38
- 资源: 340
最新资源
- 单片机串口通信仿真与代码实现详解
- LVGL GUI-Guider工具:设计并仿真LVGL界面
- Unity3D魔幻风格游戏UI界面与按钮图标素材详解
- MFC VC++实现串口温度数据显示源代码分析
- JEE培训项目:jee-todolist深度解析
- 74LS138译码器在单片机应用中的实现方法
- Android平台的动物象棋游戏应用开发
- C++系统测试项目:毕业设计与课程实践指南
- WZYAVPlayer:一个适用于iOS的视频播放控件
- ASP实现校园学生信息在线管理系统设计与实践
- 使用node-webkit和AngularJS打造跨平台桌面应用
- C#实现递归绘制圆形的探索
- C++语言项目开发:烟花效果动画实现
- 高效子网掩码计算器:网络工具中的必备应用
- 用Django构建个人博客网站的学习之旅
- SpringBoot微服务搭建与Spring Cloud实践