搜索到
18
篇与
的结果
-
-
如何绕过EDR实现DumpHash 本文首发于国家网络空间安全云社区,作者AabyssZG本文的源代码已发布在Github,分享不易,觉得不错的师傅可以给个Star:https://github.com/AabyssZG/HashDump-BypassEDR1# Windows认证机制在内网渗透的过程中,凭证提取(Credential Dumping)是横向移动、提权和持久化的核心环节。而在大型企业安全架构下,针对内网Windows主机的渗透测试与横向移动中,凭据提取的常用手法就是各种形式的Hash Dump(主要是 NTLM NT-hash,有时还包括 LM-hash、Kerberos tickets 等)。比如当内网(外网)某台Windows服务器开放了Web服务,该Web服务存在一个高危漏洞,能够成功实现RCE任意命令执行,这时候就拿到了初步的WebShell权限。但此时你大概率只有一个服务账户(如iis apppool\defaultapppool)的权限,如何接管这台服务器上其他账户甚至拿到管理员账户的明文密码,并通过这些口令和密码对内网其他机器进行密码喷洒,就成为了实际问题。Windows下的安全认证机制总共有两种,一种是基于NTLM的认证方式,主要用在Windows工作组环境中;另一种是基于Kerberos的认证方式,主要用在域环境中。而本文讲的内容主要针对工作组环境中,如何绕过EDR实现HashDump的手法。首先要明确的是,Windows内部实现认证(比如输入密码登录桌面、进行RDP远程连接、连接SMB服务)是通过校验密码的Hash来实现的,类似于各种网站中将用户明文密码加密成MD5密文后再保存到数据库当中,使得攻击者即便导出所有数据也不会直接拿到明文密码,主要的流程如下图所示:该流程图来源于文章《Windows安全认证机制之NTLM本地认证》:https://cloud.tencent.com/developer/article/2381711但在早期的Windows系统(Windows 8.1及Windows Server 2012 R2之前的系统)进行本地认证的过程中,作为本地安全权限服务进程lsass.exe也会把用户密码缓存在内存中,这就是为啥对老系统使用mimikatz工具能直接抓到明文密码的原因。从 Windows 8.1和 Windows Server 2012 R2开始,微软引入了“受限管理员模式”(Restricted Admin mode),并默认限制了明文密码在内存中的存放。针对Windows 8.1及Windows Server 2012 R2之后的系统,可以通过以下命令修改注册表来(需要用户重新登录后才可成功缓存)缓存明文:reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f使用mimikatz尝试抓取明文密码(需要管理员权限执行):mimikatz.exe "privilege::debug" "log C:\Users\Public\Music\mimiklsass.log" "sekurlsa::logonpasswords" "exit"2# Hash的来源域内Windows机器和非入域Windows机器实际存放Hash的地方是有区别的,工作组Windows的密码Hash是在本地的SAM文件(C:\Windows\System32\config\sam)里面;域内Windows的密码Hash是在域控的NTDS.DIT文件(C:\Windows\NTDS\NTDS.dit)里面。而本文讲的内容主要针对工作组环境中,如何绕过EDR实现HashDump的手法。主要 Dump Hash 的数据来源对比,如下表所示:来源存储位置可获取内容是否需要用户在线登录是否包含 Kerberos Ticket典型场景SAMHKLM\SAM 注册表本地用户 NT/LM hash否否本地提权、持久化LSA SecretsHKLM\SECURITY 注册表服务账号明文、DPAPI key、部分明文密码否否服务账号复用Cached Domain Credentials (DCC/DCC2)注册表 + MSCache 结构域用户缓存的 NT hash(限最后 N 次登录)否否非域控工作站LSASS 进程内存lsass.exe 内存空间当前登录用户 NT hash、明文(旧版)、Kerberos tickets、WDigest 等是是实时抓现成域管/高价值账号NTDS.dit域控 %SystemRoot%\NTDS域内所有用户 NT hash否否域渗透终极目标该表来源文章《几种 dump hash 方式对比分析》:https://tencentcloud.csdn.net/69ea9cf754b52172bc6eb7fc.html对于常规的HashDump的手法,这里就不赘述了,感兴趣可以去搜索相应文章自行学习。3# 初期绕过杀软实现DumpHash在实战环境当中,往往会碰到各种杀毒软件和安防设备,针对各种DumpHash的工具和操作行为进行了阻断,而且DumpHash的恶意行为模式,与正常的行为有着天壤之别,这也使得杀毒软件识别DumpHash的操作尤为容易。很快,聪明的渗透工程师就想到了应对之策:因为在Windows运行期间,系统会将SAM等关键文件的内容加载并挂载到注册表中,注册表相应关键位置的说明如下:HKLM\SAM:包含本地帐户的NT Hash值。HKLM\SECURITY:包含LSA密钥,包含已安装服务的明文密码(如 SQL Server 的运行账户密码)以及域信息。HKLM\SYSTEM:包含解密SAM数据库和LSA密钥所需的Key,里面存着Boot Key(也叫 Syskey)。所以有不少经验老道的红队工程师,在遇到杀软软件的时候,会尝试导出注册表中的SAM等敏感数据,导回到攻击者机器本地提取出Hash:可以参考这个网站,还提供了很多白程序利用的案例:https://lolbas-project.github.io/lolbas/Binaries/Reg/#在目标机器上执行,导出注册表中的敏感数据 reg save HKLM\SAM sam.hive reg save HKLM\SYSTEM system.hive reg save HKLM\Security security.hive #将sam.hive和system.hive两个文件导回本地,使用本地mimikatz工具提取Hash lsadump::sam /sam:sam.hive /system:system.hive lsadump::secrets /system:system.hive /security:security.hivemimikatz的两个命令的区别如下:命令核心目标所需文件lsadump::sam获取本地用户 NTLM 哈希SAM + SYSTEMlsadump::secrets获取服务密码、自动登录密码SECURITY + SYSTEM这一招起初非常有效,因为这也算是一种LOLBAS,刚开始确实屡试不爽。什么是 LOLBAS?全称:Living Off The Land Binaries and Scripts。核心逻辑:利用 Windows 系统中合法的执行文件(如 certutil.exe, bitsadmin.exe, powershell.exe)来完成下载恶意软件、执行代码或绕过防护。为何有效:因为这些程序带有 数字签名 且通常在安全软件的 白名单 中。我一直在说:网络空间安全,本质上就是人与人思维之间的对抗。很快,各大杀毒软件厂商便反应了过来,马上就去拦截相关的命令,并及时阻断相应的操作。这个操作在杀毒软件的视角下是非常容易的,因为杀毒软件往往拥有合法驱动,能够监控任意用户的一举一动,只要匹配到有命令带有save HKLM\SAM等命令行参数,就会对相应操作进行拦截(比如在卡巴斯基正常运行且许可证没过期的情况下,执行reg save HKLM\SAM SAM会显示Not Access:5),从而让攻击者无法导出SAM导致DumpHash失败。4# 现在绕过EDR实现DumpHash好巧不巧,最近黑暗大门内部群的一位好兄弟找到了我,让我帮忙指导一下一个有授权的目标如何进行内网渗透。在调研的过程中,发现目标机器上有着SentinelOne(哨兵一号EDR)以及Kaspersky Next EDR(卡巴斯基EDR),这对于每一个攻击者来说都是致命的拦路虎。这里也欢迎各位师傅使用我们的杀软识别平台:https://av.aabyss.cn/,有杀软补充或者问题欢迎提交PR。两个强劲EDR的同时出现,让我们束手无策,多种DumpHash的免杀方案均被拦截和查杀,我们正准备放弃,决定不做DumpHash操作了。后来,通过搜集本地的各种凭据,我们尝试连接该网站的SQL Server数据库,发现也不是管理员权限,没办法通过xpcmdshell执行系统目录,此时手法来了,通过以下SQL语句能找到该数据库的管理员:SELECT p.name AS [LoginName], p.type_desc AS [LoginType], p.is_disabled AS [IsDisabled], p.create_date AS [CreateDate] FROM sys.server_principals p JOIN sys.server_role_members rm ON p.principal_id = rm.member_principal_id JOIN sys.server_principals r ON rm.role_principal_id = r.principal_id WHERE r.name = 'sysadmin';结果出乎我的意料,我发现sa用户被禁用了,而下面又有几个额外的账户(由于是实战环境,不方便透露管理员ID,于是打了马赛克):于是通过对下面两个管理员账号进行密码复用,成功拿到SQL Server数据库管理员的账号,开启了xpcmdshell,执行whoami发现不得了:很有精神!直接是SYSTEM权限,果然还是得折腾,不折腾怎么能这么轻松的提权呢?那有了SYSTEM权限,我是不是该再考虑考虑如何DumpHash了?在苦苦思索当中,我又把目光放回到Reg.exe这个系统白程序当中,于是我去问了Kimi大模型:“在Windows当中,reg.exe有哪几个参数,分别能做什么?”,他给我的回复如下图所示:我在“导出/导入类”里面找到了一个选项:export-将指定的注册表项导出为.reg文件,同时还注意到一个选项:import-将.reg文件导入到注册表。那我此时有一个大胆的想法:能否通过reg.exe export HKLM\SAM sam.reg导出SAM注册表的内容?很有精神!那我以同样的操作,导出了SAM、SYSTEM以及SECURITYreg.exe export HKLM\SAM C:\Users\Public\sam.reg reg.exe export HKLM\SYSTEM C:\Users\Public\system.reg reg.exe export HKLM\Security C:\Users\Public\security.reg但当我吧这三个.reg文件拉到本地的时候,发现mimikatz工具没办法直接使用这三个文件提取Hash,我后面研究了一下,mimikatz工具需要的是注册表里面保存的二进制核心数据,而.reg里面还有多余的表结构,二进制数据是以16进制字符串形式储存的。那此时我就有个新的想法,既然能导出,那就能导入嘛?但是文件里面导入的路径是HKLM\SAM,我需要批量替换,导入到我本地Windows的一个注册表临时路径,再通过reg save命令把其中的二进制核心数据导出来不就好了吗?桀桀桀~于是我又让Kimi给我写了个脚本,让它自动将.reg里面的HKLM替换为HKCU\AABYSS这个临时路径,再通过reg save这个临时路径导出核心二进制数据,再删掉注册表的这个临时路径:完整的PowerShell脚本代码可见我的Github项目,感谢各位师傅的Star:https://github.com/AabyssZG/HashDump-BypassEDR在本地电脑,使用本机管理员权限打开Powershell,执行以下命令:.\RegReduction.ps1很完美!也是成功的在目录里面看到导出的核心二进制文件:兴高采烈的将其丢到mimikatz里面,发现居然不行??那我是真没招了啊。。。只好看看有没有什么别的办法,突然我想起来著名的impacket套件里面不是有个工具叫secretsdump.py,也能实现通过导出的二进制文件提取出Hash,但使用它有个核心参数是bootkey:python secretsdump.py -sam SAM.hive -security SECURITY.hive -bootkey <目标机器的BootKey> LOCAL我记得上文提到过【HKLM\SYSTEM:包含解密SAM数据库和LSA密钥所需的Key,里面存着Boot Key(也叫 Syskey)】,我这里有导出的system.reg文件,是不是就能直接拿到BootKey了?于是我又开始问Kimi大模型,Kimi给我了答复:因为计算BootKey需要HKLM\SYSTEM中的四个隐藏键值对才能计算,但是system.reg文件里面并不包含这四个隐藏键值对,所以没办法拿到BootKey。。。那咋办,看看能不能写个程序导BootKey呗,都走到这一步了还能咋办呢?既然是提取注册表的隐藏键值对,那就不能用Python或者Golang了,这两语言对于系统底层的操作简直是依托答辩,只能用C或者C++看看。于是花了半天时间研究了一下C,再通过Kimi大模型辅助帮我优化和改Bug,道爷我终于成了!核心代码如下:int main(void) { const char* t[4] = {"JD", "Skew1", "GBG", "Data"}; const char* b[2] = {"SYSTEM\\CurrentControlSet\\Control\\Lsa", "SYSTEM\\ControlSet001\\Control\\Lsa"}; char s[64] = {0}; char c[256]; unsigned char d[16]; unsigned char bk[16]; int i, bi = -1; size_t len; for (i = 0; i < 2; i++) { sprintf(c, "%s\\JD", b[i]); if (get_class(HKEY_LOCAL_MACHINE, c, c, sizeof(c)) > 0) { bi = i; break; } } if (bi < 0) { printf("[-] You Need Admin\n"); return 1; } printf("[+] Base: HKLM\\%s\n", b[bi]); for (i = 0; i < 4; i++) { int n; sprintf(c, "%s\\%s", b[bi], t[i]); n = get_class(HKEY_LOCAL_MACHINE, c, c, sizeof(c)); if (n <= 0) { printf("[-] Failed: %s\n", t[i]); return 1; } if (c[n-1] == 0) n--; /* strip null */ printf("[+] %s: '%s' (length=%d)\n", t[i], c, n); strncat(s, c, n); } len = strlen(s); if (len == 30) strcat(s, "00"); else if (len == 31) strcat(s, "0"); else if (len != 32) { printf("[-] Bad length: %zu\n", len); return 1; } printf("[+] Scrambled: %s\n", s); for (i = 0; i < 16; i++) sscanf(s + i*2, "%2hhx", &d[i]); /* 修复: boot_key[i] = scrambled[perm[i]] */ for (i = 0; i < 16; i++) bk[i] = d[perm[i]]; printf("[+] Boot Key: "); for (i = 0; i < 16; i++) printf("%02x", bk[i]); printf("\n"); return 0; }完整的C代码可见我的Github项目,感谢各位师傅的Star:https://github.com/AabyssZG/HashDump-BypassEDR而且我发现有个很有意思的事情,导出BootKey好像并不需要管理员权限???于是兴致冲冲的传服务器上,我倒要看看EDR会不会查杀这个行为:事实证明,这个操作能过EDR的识别与拦截,那拿到BootKey事情已经结束了,直接命令一把梭哈:python secretsdump.py -sam SAM.hive -security SECURITY.hive -bootkey <目标机器的BootKey> LOCAL结果很显然我成功了,成功实现了DumpHash:5# 关于权限的测试本文有几个关键操作,在本次渗透测试结束后,我想看看这种操作的适用性怎么样,在目标机器上的核心步骤就两个:使用reg.exe export命令导出关键注册表内容;使用BootKey.exe导出系统的BootKey。对于不同系统我也进行了测试,结果如下:在实际测试中,在Win10和Win11环境上使用reg.exe export命令导出注册表需要SYSTEM权限,而在Windows Server 2022(因为没2025的环境,懒得测了)及以下环境使用reg.exe export命令导出注册表只需要普通管理员权限即可(并不需要SYSTEM权限),如果使用reg.exe export命令导出注册表后文件只有1KB大小,那就说明权限不够。在实际测试中,使用BootKey.exe提取程序导出BootKey是不需要管理员权限的,而且实测大部分杀软(目前遇到的杀软都不会)都不会查杀。6# 总结本文简略的梳理了Windows DumpHash的流程,并通过系统白程序Reg.exe的拓展应用,巧妙的绕过了杀软的拦截点,实现了绕过EDR从而DumpHash的目的,同时根据实际测试,该方法针对Windows系列系统具有有效性,操作难度不大,具有实战价值。如果有更好的思路以及方法,或者里面有可以优化的步骤,欢迎师傅们找我交流哈哈。本文的源代码已发布在Github,分享不易,觉得不错的师傅可以给个Star:https://github.com/AabyssZG/HashDump-BypassEDR我勒个豆,我的眼睛~~看屏幕看太久了。。。我非常需要一个长假!!!还有就是,Kimi打钱,广告费给我结一下谢谢~也感谢黑暗大门内部群的群友,能给予我这次宝贵的攻防机会,让我又Get到一个新的技能点!
-
通过RouterOS建立WireGuard内网隧道 0# 概述在近期的实战渗透过程中,当我通过历史密码泄露或者爆破成功进入RouterOS系统后台后,应该如何搭建隧道进入目标内网,就成为了实际渗透过程中的问题。RouterOS是一种路由操作系统,是基于Linux核心开发,兼容x86 PC的路由软件,通过该软件可以把标准PC电脑变成专业路由器,RouterOS软件的开发和应用不断的更新和发展,软件经历了多次更新和改进,其功能在不断增强和完善。特别在无线、认证、策略路由、带宽控制和防火墙过滤等功能上有着非常突出的功能,其极高的性价比,受到许多网络人士的青睐。在日常针对内网渗透和外部打点的过程中,RouterOS是常见的网关系统和边缘资产,由于其部署方便且易用性较高,在非常多的企业级应用场景中能看到它的身影。
-
从CVE-2025-30208看任意文件读取利用 0# 概述师傅们好久不见!最近不是特别忙,就研究研究最新的漏洞。刚好最近一大批漏洞都爆出来了,比如 CVE-2025-1097, CVE-2025-1098, CVE-2025-24514, CVE-2025-1974 Kubernetes Ingress-Nginx Admission Controller RCE Escalation,是危害性极大的高危漏洞,在内网渗透中能直接击穿K8S集群。这些高危漏洞其实分析文章很多,看国内外众多大佬的分析都非常精彩,这里我也不献丑了。但引起我关注的漏洞是 CVE-2025-30208 Vite Development Server Arbitrary File Read 这个任意文件读取漏洞。其实我们很多时候都轻视了任意文件读取漏洞,特别是很多刚入行学习网安的师傅,往往瞧不上任意文件读取漏洞,其实这是一种偏见。今天就从 CVE-2025-30208 发散去讲任意文件读取漏洞,这种漏洞是有操作空间的,况且 CVE-2025-30208 利用简单、覆盖面广,那就有必要拎出来和大家交流一下,今天我就来抛砖引玉一下。
-
-
干货满满之2024广州补天城市沙龙有感 前言哈哈,好久没在博客上面更新文章了,许多朋友(不管是线上还是线下)都在问我是不是不更新博客了,也在催我赶紧更新一下博客的内容,在此也非常感谢各位师傅和朋友的关注和支持~近期不更新博客,原因如下:最近大家也知道emmmmm..我最近到深圳这边,这边项目的对抗程度很高,在这段时间学到很多知识,但工作强度也比较大,人也相比之前时间更少了,也累了不少;但能学到技术还是非常开心的,有时候工作确实太累了,导致我没啥精力来更新博客。后面我会在博客上面分享在项目上面的一些新的收获,一线攻防总能带来一线的技术,相信大家后面都能在我的博客上面收获良多!ψ(`∇´)ψ好了说回正题,正好补天城市沙龙在一个月前开在广东广州,补天的田总(田朋师傅)就诚挚的邀请我去参加,我就非常开心的过去了,确实收获了不少
-
-
-
