内网凭据密码收集
一、 本地系统凭据挖掘 (Local Extraction)
这是获取凭据的源头,不需要网络交互,隐蔽性最强 。
1. Windows 系统
内存提取 (LSASS):
-
核心目标:
lsass.exe进程。 -
工具:Mimikatz。使用
privilege::debug提权后,运行sekurlsa::logonPasswords直接读取明文密码或 NTLM 哈希。 -
高版本限制:Windows 8.1/Server 2012 R2 及以上默认关闭明文存储。若需明文,需修改注册表
UseLogonCredential为 1(需用户重登,风险较高)。
注册表挖掘:
-
SAM/SYSTEM:通过
reg save导出 HKLM\SAM 和 HKLM\SYSTEM,离线破解 NTLM 哈希 。 -
RDP 缓存:查看
HKLM\SOFTWARE\Microsoft\Terminal Server Client\Servers,提取远程桌面连接记录 。
-
配置文件与日志:
检查 IIS 的
web.config(可能含数据库连接串)。检查 FileZilla (
sitemanager.xml) 或 Outlook 配置 。
2. Linux 系统
文件读取:
-
/etc/shadow:存储哈希,需 Root 权限读取并使用 Hashcat 破解 。 -
~/.bash_history:检查是否有包含password或-p参数的历史命令 。 -
~/.ssh/:查找id_rsa私钥以实现免密登录。
二、 网络服务凭据探测 (Network Probing)
此阶段需与目标建立连接,易触发流量审计,需注意频率 。
资产发现:推荐使用 SharpScan(支持无文件落地)。优先使用 ARP 扫描内网存活主机,避免被防火墙拦截 。
- 密码喷洒 (Password Spraying):
- 痛点:传统爆破(一个账号试多个密码)易导致账号锁定。
- 策略:一个密码试多个账号。构建针对性字典(如“公司名+年份”),并在非工作时间低频执行。
- 高危漏洞利用:
- MS17-010 (永恒之蓝):直接获取系统权限提取凭据 。
- RDP 配置错误:检查是否未禁用“允许空密码登录”。
三、 域环境凭据利用 (Domain Exploitation)
域环境是横向移动的核心,利用 Kerberos 协议特性是关键 。
1. Kerberoasting 攻击
- 原理:利用 SPN(服务主体名称)请求服务票据,离线破解该票据以获取服务账号密码 18。
- 优势:无需管理员权限,普通域用户即可执行,且流量隐蔽 19。
- 流程:
setspn -Q发现服务 -> Mimikatz/Rubeus 导出票据 -> Hashcat 离线破解 20。
2. 票据伪造 (Persistence)
- 黄金票据 (Golden Ticket):需获取域控 KRBTGT 哈希。伪造 TGT,获取全域控制权 21。
- 白银票据 (Silver Ticket):需获取特定服务账号哈希。伪造 ST,仅访问特定服务(如 SMB),不涉及 KDC,隐蔽性更高 22。
四、 工具推荐与避坑指南 (Toolkit & OPSEC)
常用合规工具清单
| 工具名称 | 核心功能 | 适用场景 |
|---|---|---|
| Mimikatz | 内存凭据、票据提取 | Windows 本地挖掘、域票据操作 23 |
| SharpScan | 资产扫描、爆破、密码喷洒 | 内网大范围探测,支持 Socks5 代理 24242424 |
| Rubeus | Kerberos 票据请求与管理 | Kerberoasting 攻击 25 |
| BloodHound | 域权限关系可视化 | 分析攻击路径(如谁能控制域控)26 |
| Hashcat | 离线哈希破解 | 破解 NTLM、Kerberos 票据 27 |
实战避坑 (OPSEC)
- 无文件攻击:使用 PowerShell 内存加载(如
Invoke-Mimikatz),避免文件落地触发 EDR 。 - 日志清理:操作后清理命令历史,使用
wevtutil cl Security清理安全日志 29。 - 流量控制:爆破时设置延时(3-5秒),使用代理隐藏源 IP 30303030。
浙公网安备 33010602011771号