-
域渗透-Windows个人凭据&企业凭据获取利用
0x00 起因 三月份打了一个软件系统安全赛,没想到场上会出现DC域控制器有关的取证题目。四道题目除去DC3都很简单。但DC3涉及到DPAPI与Masterkey等内容,发现一点都没有接触过,遂借此契机深入研究一下读取DPAPI加密密钥&解密用户凭据等内容。有备无患。可惜拼尽全力都没打到决赛晋级名额内,遗憾。 参考链接: 文章 - 使用 MimiKatz 读取 DPAPI 加密密钥的几种方式 - 先知社区 渗透技巧——获取Windows系统下DPAPI中的MasterKey 通过DPAPI获取windows身份凭证 cred–The Hacker Tools 0x01 软件系统安全赛DC3复现 题目内容: 小梁的域控机器被黑客攻击了,请你找出一些蛛丝马迹。 攻击者从机器中提取出了用户的连接其他机器的Windows企业凭据,凭据的连接IP、用户名、密码是什么?(格式为IP-用户名-密码,如127.0.0.1-sam-123456) 首先查看C:\Users\<username>\AppData\roaming\Windows\PowerShell\PSReadLine下的txt,其中会记录当前用户的所有powershell命令。我们翻出来的命令记录如下: net user Administrator Ad9657! net user john Jo9657! whoami /all net user net user /domain ntdsutil "ac i ntds" "ifm" "create full c:\copy-ntds" quit quit cd...
-
全新的开始
0x00 前言 从3gstudents大佬那里fork来的现成网站,以前也没有自己搭建博客的经验,打算籍由此框架开始自己一点点开发尝试。 春秋云境 HackTheBox Windows Active Directory域 各项学校实验&个人测试 均会放在此网站上做记录。新的开始。