Вытащить пароли из windows
Этичный хакинг и тестирование на проникновение, информационная безопасность
Сегодня хочу поделиться информацией о программе, работа которой меня поразила и заставила задуматься: как же много может обо мне (и большинстве из нас) узнать злоумышленник, получив доступ к моему (или вашему) компьютеру буквально на несколько минут.
Даже если вы не собираетесь собирать пароли на чужих компьютерах, такие программы как LaZagne – это очень хороший способ задуматься, как уязвима наша конфиденциальность, когда наши компьютеры не под нашим контролем: в аэропортах, когда они сдаются в багаж, в ремонтных мастерских, после продажи и т.п.
А если вы собираетесь взламывать чужие пароли, то обращу внимание, что LaZagne – это утилита командной строки, и можно придумать разные интересные варианты её скрытого использования на удалённых для вас машинах для извлечения паролей цели…
Программы для восстановления паролей
Думаю, вы уже поняли, что я буду говорить о LaZagne.
Это абсолютно бесплатные программы, без рекламы и мусора, у многих из них есть интерфейс командной строки, они очень нетребовательны к ресурсам. Но они работают только под Windows и у них закрыт исходный код. Если у программы закрыт исходный код, то это оставляет простор для мысли: она просто извлекает пароли, или она извлекает пароли И передаёт их кому надо…
У LaZagne открытый исходный код, программа написана на Python 2, т.е. если вы знаете, как настроить среду выполнения Python и установите необходимые зависимости, то сможете запускать прямо исходные скрипты (как это делается на Linux). Для тех, кто это не умеет / не хочет разбираться, собраны исполнимые файлы, которые также содержат все необходимые зависимости.
Кстати про Linux. Версия для этой ОС отличается от версии под Windows тем, что поддерживает меньшее количество программ, для которых умеет восстанавливать пароли.
Кстати: кто знает другие подобные функциональные программы с открытым исходным кодом – пишите о них в комментариях, будет интересно их посмотреть.
Инструкция по использованию LaZagne в Windows
Разархивируйте скаченный файл. Откройте командную строку в Windows (Win+x) и выберите там «Командная строка» или «Командная строка (администратор)». По идее, как это описано в официальной документации, при запуске программы от администратора, она должна находить пароли для всех пользователей, плюс пароль для Wi-Fi. У меня напротив, в командной строке от имени администратора программа совсем не работает (ничего не находит). Возможно, нужно запускать другим образом, например:
Но у меня это также не получилось (поскольку учётная запись у меня без пароля, а для такого запуска она должна быть с паролем). Я не стал с этим особо разбираться, а просто запустил в командной строке от обычного пользователя. Давайте сразу перейдём к тому месту, где у меня заработало)))
В открывшееся окно командной строки можно перетащить исполнимый файл (чтобы не набирать его расположение руками). Через пробел допишите all, чтобы получилось примерно так:
Вот мой результат:
Чтобы сохранить данные в файл добавьте опцию -oN:
Файл сохраняется не относительно расположения запущенной программы, а относительно текущей рабочей директории (ту, которую видно в приглашении командной строки). Например, в моём случае это C:\Users\Alex\, значит файл с найденными паролями сохранён в C:\Users\Alex\results\
Ещё можно использовать опцию -oJ для сохранения в формате Json или опцию -oA – для сохранения сразу в двух форматах. Кстати, у меня, в Json сохраняет нормально, а при выборе сохранения в виде обычного текста, сохраняются всего несколько паролей.
Если у вас тоже с этим проблемы, то можно воспользоваться банальным перенаправлением вывода:
Если хотите искать пароли только для браузеров:
Можно даже запустить поиск только для определённых браузеров, например, для Firefox’а:
Полный список доступных опций и поддерживаемое ПО смотрите в справке по программе.
Заключение
Программа LaZagne очень проста в использовании и весьма хорошо справляется с задачей по поиску паролей в компьютере. Программа продолжает активно развиваться и регулярно добавляются новые скрипты, которые позволяют искать и восстанавливать пароли для ещё большего количества программ.
Вы можете в некоторой степени обезопасить себя от этой программы, если, например, будете использовать мастер пароль для браузеров (которые это поддерживают).
О таких программах всегда следует помнить, если пользуетесь компьютерами общего пользования (например, в Интернет-кафе) или ваш компьютер хотя бы на некоторое время выпадает из вашего владения (при сдаче в багаж, сдаче в ремонт, продаже).
При продаже не стоит надеяться на простое удаление или форматирование жёсткого диска. Криминалистические инструменты (вроде Autopsy), способны восстанавливать данные. Кстати, Autopsy в дополнение к паролям, сможет показать историю, кукиз веб-браузеров, посещённые сайты, информацию о времени пользования компьютера (формируемую по многим фактором) и ещё об очень многом.
В этой статье, написанной в рамках серии статьей, посвященной обеспечению безопасности Windows-систем, мы познакомимся с достаточно простой методикой получения паролей пользователей Windows с помощью Open Source утилиты Mimikatz.
Программа mimikatz позволяет извлечь из памяти Windows пароли в виде простого текста, хэши паролей, билеты kerberos из памяти и т.д. Также mimikatz позволяет выполнить атаки pass-the-hash, pass-the-ticket или генерировать Golden тикеты. Функционал mimikatz доступен также через Metasploit Framework.
В этой статье мы покажем, как получить пароли пользователей в Windows Server 2016 или Windows с помощью mimikatz.
Дисклаймер. Информация и технологии, описанные в данной статье, стоит использовать только в информационно-ознакомительных целях, и ни в коем случае не применять для получения доступа к учетным записям, информации и системам третьих лиц.Извлекаем хэши паролей пользователей из памяти Windows
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" >> c:\tools\mimikatz\output.txt
Как вы видите, сервис быстро нашел значения для этих NTLM хэшей. Т.е. мы получили пароли пользователей в открытом виде (представьте, что один из них это администратор домена….).
Как вы видите, благодаря mimikatz мы получили NTLM хеши всех активных пользователей! Все это благодаря тому, что на данном компьютере разрешено использовать режим отладки, выставляя флаг SeDebugPrivilege для нужного процесса. В этом режиме программы могут получать низкоуровневый доступ к памяти процессов, запущенных от имени системы.
Примечание. В июне 2017 года многие крупные компании России, Украины и других стран были заражены вирусом-шифровальщиком not-petya, которые для сбора паролей пользователей и администраторов домена использовал в том числе интегрированный модуль mimikatz.Получение хешей паролей пользователей из дампа памяти Windows
Рассмотренная выше методика получения хэшей пароля не сработает, если на сервере установлен антивирус, блокирующего инъекцию. В этом случае придется сначала создать дамп памяти процесса LSASS на целевом сервере, и затем на другом компьютере с помощью mimikatz извлечь из него хэши пароли для сессий пользователей.
Создать дамп памяти процесса в Windows довольно просто. Запустите Task Manager, найдите процесс lsass.exe, щелкните по нему правой клавишей и выберите Create dump file.
Windows сохраните дам памяти в указанную папку.
Вам осталось только разобрать дамп с помощью mimikatz (можно на другом компьютере). Загрузите дамп памяти в mimikatz:
Mimikatz “sekurlsa::minidump C:\Users\anovach\AppData\Local\Temp\lsass.DMP”
Вывести информацию о пользователях, и хэшах их паролей из сохраненного дампа памяти:
Вы можете получить дамп памяти с удаленного компьютера с помощью psexec, или через WinRM (при наличии прав администратора), и затем из него пароли пользователей.
Также для получения дампа можно использовать утилиту procdump от Sysinterals.
procdump -ma lsass.exe lsass.dmp
Дамп памяти для процесса LSASS можно получить с помощью PowerShell функции Out-Minidump.ps1 . Импортируйте функцию Out-Minidump в PoSh и создайте дамп памяти процесса LSASS:
Import-Module .\OutMiniDump.ps1
Get-Process lsass | Out-Minidump
Получение паролей пользователей из файлов виртуальных машины и файлов гибернации
Также возможно извлечь пароли пользователей из файлов дампов памяти, файлов гибернации системы (hiberfil.sys) и. vmem файлов виртуальных машин (файлы подкачки виртуальных машин и их снапшоты).
Для этого понадобится пакет Debugging Tool for Windows (WinDbg), сам mimikatz и утилита преобразования .vmem в файл дампа памяти (для Hyper-V это может быть vm2dmp.exe или MoonSols Windows Memory toolkit для vmem файлов VMWare).
Например, чтобы преобразовать файл подкачки vmem виртуальной машины VMWare в дамп, выполните команду:
bin2dmp.exe "winsrv2008r2.vmem" vmware.dmp
Полученный дамп откройте в WinDbg (File -> Open Crash Dump). Загрузите библиотеку mimikatz с именем mimilib.dll (используйте версию библиотеки в зависимости от разрядности Windows):
Найдите в дампе процесс lsass.exe:
!process 0 0 lsass.exe
И наконец, выполните:
.process /r /p fffffa800e0b3b30
!mimikatz
В результате вы получите список пользователей Windows, и NTLM хэши их паролей, или даже пароли в открытом виде.
Как узнать пароли пользователей Windows в открытом виде через протокол WDigest?
Протокол WDigest по-умолчанию отключен во всех новых версиях Windows, в том числе Windows 10 и Windows Server 2016. Но не удален окончательно. Если у вас есть права администратора в Windows, вы можете включить протокол WDiget, дождаться входа пользователей и получить их пароли.
Включите поддержку Wdigest:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1
Дождитесь входа пользователей (в Windows 10 нужно пользователю нужно перезайти, в Windows Server 2016 достаточно разблокировать сессию после блокировки экрана) и получите их пароли через mimikatz:
Как вы видите, в секции wdigest содержится пароль пользователя в открытом виде:
Извлекаем пароли локальных пользователей Windows из SAM
С помощью mimikatz вы можете извлечь хэши паролей локальных пользователей Windows из SAM так:
Также можно извлечь NTLM хэши SAM из реестра.
- Экспортируйте содержимое веток реестра SYSTEM и SAM в файлы: reg save hklm\sam c:\tmp\sam.hiv
reg save hklm\security c:\tmp\sec.hiv - Затем с помощью Mimikatz извлеките хэши паролей: privilege::debug
token::elevate
lsadump::sam c:\tmp\sam.hiv c:\tmp\sec.hiv
Использование Mimikatz в pass-the-hash атаках
Если у пользователя используется достаточно сложный пароль, и получить его быстро не удается, можно использовать Mimikatz для атаки pass-the-hash (повторное использование хэша). В этом случае хэш может использовать для запуска процессов от имени пользователя. Например, получив NTLM хэш пароля пользователя, следующая команда запустит командную строку от имени привилегированного аккаунта:
privilege::debug
sekurlsa::pth /user:Administrator /domain:srv01 /ntlm:e19ccf75ee54e06b06a5907af13cef42 /run:powershell.exe
Просмотр сохраненных паролей в Windows
В Windows вы можете сохранять пароли в Windows Credential Manager (это могут быть пароли для доступа к удаленным компьютерам, сайтам, пароли для RDP подключений в формате TERMSRV/server1). Mimikatz может извлечь эти пароли из Credential Manager и показать их вам:
Как вы видите, сохраненый пароль показан в секции credman.
Дампим пароли при входе в Windows
Еще один интересный способ дампа паролей в Windows заключается в использовании дополнительно SSP провайдера (Security Support Provider).
- Скопируйте файл библиотеки Mimikatz mimilib.dll в папку C:\Windows\System32\.
- Зарегистрируйте дополнительного провайдер командой: reg add "hklm\system\currentcontrolset\control\lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
- При входе каждого пользователя в Windows его пароль будет записываться в файл kiwissp.log. Можно вывести все пароли через PowerShell:
Get-Content C:\Windows\System32\kiwissp.log
Как защитить Windows от извлечения паролей из памяти?
В Windows 8.1 и Server 2012 R2 (и выше) возможности по извлечению паролей через LSASS несколько ограничены. Так, по-умолчанию в этих системах в памяти не хранятся LM хэш и пароли в открытом виде. Этот же функционал бэкпортирован и на более ранние версии Windows (7/8/2008R2/2012), в которых нужно установить специальное обновление KB2871997 (обновление дает и другие возможности усилить безопасность системы) и отключить WDigest в реестре (в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest установить параметр DWORD реестра UseLogonCredential равным 0).
Если после установки обновления и ключа UseLogonCredential попробовать извлечь пароли из памяти, вы увидите, что mimikatz с помощью команды creds_wdigest не сможет извлечь пароли и хэши.
В инструментарии mimikatz есть и другие инструменты получения паролей и их хэшей из памяти (WDigest, LM-hash, NTLM-hash, модуль для захвата билетов Kerberos), поэтому в качестве рекомендаций рекомендуется реализовать следующие меры:
Если вы забыли пароль от своего почтового аккаунта или любимой , вы можете извлечь сохраненные пароли из любого браузера. Мы покажем вам, как это работает в Chrome, Firefox, Edge и Internet Explorer.
Google Chrome: извлекаем сохраненные пароли
- В нижней части меню выберите пункт «Настройки». В новой вкладке откроются настройки.
- Прокрутите страницу до самого низа и нажмите «Дополнительные». Откроются дополнительные настройки.
- Снова прокрутите немного вниз, пока не попадете в категорию «Пароли и формы». Нажмите здесь на «Управление сохраненными паролями».
- Теперь вы увидите список всех веб-страниц, на которые вы заходили с идентификацией. Вам будет виден не только логин, но и пароль.
- Чтобы просмотреть пароль, щелкните значок в виде глаза и для подтверждения введите пароль пользователя Windows.
Microsoft Edge: извлечение паролей из браузера
В Microsoft Edge вы можете управлять паролями, но не извлекать их. Поэтому для извлечения паролей мы обратимся к настройкам в самой Windows. Следующие действия также актуальны для Internet Explorer. Добраться до нужных настроек можно воспользовавшись нашей пошаговой инструкцией:
Эти сохраненные пароли хранятся в ваших веб-браузерах, WiFi-сетях и других службах, которые вы используете на своем компьютере. Раскрыть эти пароли довольно просто, поскольку на вашем компьютере есть встроенный инструмент, который позволяет вам это делать.
Просмотр сохраненных паролей Windows с помощью диспетчера учетных данных
Функция, которая сохраняет ваши данные для входа в систему на вашем компьютере с Windows 10, называется Windows Credentials Manager. Он отслеживает все ваши веб, а также другие пароли Windows, и позволяет вам получить доступ и использовать их при необходимости.
Обычно сохраняемые веб-пароли взяты из Internet Explorer и Edge. Пароли Chrome, Firefox и других веб-браузеров в инструменте не отображаются. Для этих браузеров вы можете проверить их меню настроек, чтобы найти и получить доступ к опции, которая показывает ваши пароли.
- Ищи Панель управления используя поиск Cortana и откройте панель.
- Нажмите на опцию, которая говорит Учетные записи пользователей как вариант, который вы ищете, находится там.
- На следующем экране нажмите на опцию, которая говорит Диспетчер учетных данных открыть инструмент на вашем компьютере.
- Когда откроется Диспетчер учетных данных, вы увидите в основном две вкладки, называемые Веб-учетные данные а также Учетные данные Windows,Раздел Web Credentials содержит все пароли вашего браузера. Это пароли, которые вы используете для входа на различные сайты.
Учетные данные Windows хранят другие ваши пароли, такие как пароль диска NAS и т. Д. Если вы не находитесь в корпоративной среде, вы, вероятно, не будете использовать этот раздел.
- Чтобы раскрыть пароль для входа, щелкните значок со стрелкой вниз рядом с ним. Затем нажмите на ссылку, которая говорит Показать следующий на пароль,
- Он попросит вас ввести пароль учетной записи Windows. Если вы используете отпечаток пальца, чтобы разблокировать компьютер, как я, вам будет предложено отсканировать его, чтобы продолжить.
- Затем он немедленно отобразит пароль на вашем экране.
Просмотр сохраненных паролей WiFi в Windows 10
Диспетчер учетных данных, к сожалению, не позволяет просматривать сохраненные пароли WiFi. Однако есть два других способа доступа к сохраненным в Windows паролям для ваших беспроводных сетей.
Эти методы должны позволить вам получить доступ к паролям для всех сетей WiFi, к которым вы когда-либо подключались.
Используйте командную строку, чтобы показать сохраненные пароли WiFi
По сути, вы просто скопируете и вставите команды, поэтому, даже если вы ранее не пользовались этим инструментом, все равно все будет в порядке.
- Ищи Командная строка используя поиск Cortana и нажмите на Запустить от имени администратора,
Используйте приложение для доступа к сохраненным паролям WiFi
Если вам нужно слишком часто получать доступ к сохраненным паролям WiFi, метод командной строки не идеален для вас, поскольку он требует, чтобы вы вводили команду каждый раз, когда хотите просмотреть пароль. Лучшим вариантом было бы использовать стороннее приложение, которое позволяет вам легко и быстро раскрывать сохраненные в Windows пароли.
Одно из этих приложений WiFi Password Revealer волшебный желе боб. Это бесплатное приложение, которое вы можете использовать на своем компьютере с Windows 10 для просмотра своих паролей WiFi.
- Загрузите и запустите приложение на своем компьютере.
- Он сразу отсканирует и отобразит все пароли WiFi, которые он может найти на вашем экране.
- Если вы хотите скопировать пароль, щелкните его правой кнопкой мыши в приложении и выберите Скопировать выбранный пароль,
Просмотр паролей Windows Vault с помощью приложения
Некоторые из сохраненных паролей Windows хранятся в хранилище Windows на компьютере с Windows 10. Если нужный вам пароль находится там, то вы можете использовать бесплатное приложение, чтобы найти и раскрыть его на своем компьютере.
Есть приложение под названием VaultPasswordView это позволяет получить доступ ко всем паролям, сохраненным в хранилище Windows на вашем компьютере.
- Загрузите и запустите приложение на своем компьютере.
- Использовать Корневая папка выпадающее меню, чтобы выбрать корневую папку. Затем нажмите на Автоматическое заполнение кнопка для автоматического заполнения некоторых параметров на экране.
- Введите пароль своей учетной записи в Пароль для входа в Windows поле и хит Хорошо,
- Вы сможете просматривать сохраненные пароли Windows Vault.
Удалить сохраненные пароли в Windows 10
Поскольку ваш компьютер сохраняет большинство паролей, которые вы используете на своем компьютере, он может даже иметь пароли, которые вы на самом деле не используете. Если ты хочешь, ты можешь удалить эти сохраненные пароли на вашем компьютере с Windows 10.
Их можно удалить из диспетчера учетных данных Windows на вашем компьютере.
- запуск Диспетчер учетных данных Windows от Панель управления,
- Нажмите на значок стрелки рядом с паролем, который вы хотите удалить.
- Выберите опцию, которая говорит Удалить в конце ваших учетных данных.
- Вам будет предложено удалить пароль с вашего компьютера. Нажмите на да продолжать.
Пароли легко забыть, особенно если у вас их много. Вы тот, кому нужно посмотреть на сохраненные пароли, чтобы войти в систему, или вы помните все свои пароли? Звоните в комментариях ниже.
Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.
Учетные записи сетевых служб
Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.Когда вы заходите на сетевой ресурс, например, общую папку, прокси-сервер с NTLM-аутентификацией, СУБД, почтовый сервер и.т.п, то часто вы можете сохранить свой пароль, просто поставив галочку в поле “Запомнить пароль”.
На самом деле в таких случаях Windows сохраняет имена пользователей и пароли в диспетчере учетных данных (Credential Manager). Хранение учетных данных позволяет Windows использовать технологию единого доступа (SSO), введенную еще в Windows XP. Благодаря SSO, каждый раз, когда пользователю необходимо аутентифицироваться на сетевом ресурсе, ему не нужно заново вводить свои учетные данные.
Пароли в диспетчере учетных данных шифруются с помощью подсистемы DPAPI, и их можно получить в незашифрованном виде.
В диспетчере учетных данных вы можете также просматривать, редактировать и добавлять информацию. На системах Windows Vista и выше диспетчер доступен в Control Panel\User Accounts and Family Safety\Credential Manager или Control Panel\User Accounts and Family Safety\User Accounts \\Manage your credentials (Панель управления\Учетные записи пользователей\Администрирование учетных записей).
Для схожих целей в Windows существует Защищенное хранилище (Protected Storage). Приложения типа Internet Explorer и Outluook Express сохраняют в защищенном хранилище пароли от почтовых учетных записей; почтовые пароли шифруются с помощью CryptoAPI, причем ключ шифрования генерируется из пользовательского пароля, следовательно, почтовые пароли также можно получить в незашифрованном виде.
Сторонние программы (Chrome, RealVNC Client, Thunderbird и др.) сохраняют пароли от web-сайтов разными способами: некоторые в реестре, другие с помощью Windows API сохраняют их в диспетчере учетных записей или в защищенном хранилище, третьи хранят пароли в файлах. Но в независимости от того, какой именно способ используется программой, пароли хранятся в обратимом виде, и, значит, у нас есть возможность получить незашифрованные пароли от сайтов.
Получение информации из диспетчера учетных записей
Способы взаимодействия с диспетчером учетных данных документированы Microsoft и применены в некоторых утилитах, позволяющих слить информацию из диспетчера.В первую очередь я рекомендую Network Password Recovery (netpass) от NirSoft. Утилита работает стабильно и представляет собой самостоятельный EXE-файл. Убедитесь, что на 64-разрядных архитектурах вы запускаете 64-разрядную версию программы.
Cain & Abel также может успешно слить информацию из диспетчера учетных данных. Единственная проблема заключается в том, что утилита работает только локально, и поэтому, если на целевой системе прав устанавливать программное обеспечение у вас нет, лучше утилиту не использовать.
Также рекомендую Network Password Recovery (не путать с одноименной утилитой от NirSoft) от Passcape. Но имейте в виду, что пробная версия показывает только три первых символа полученных паролей.
Не следует использовать пост-эксплойт модуль windows/gather/credentials/enum_cred_store из фреймворка Metasploit, так как модуль всегда завершается аварийно, вне зависимости от версии Windows.
Получение информации из защищенного хранилища
Первое место отдаю Protected Storage PassView (pspv) от NirSoft. Утилита работает стабильно и представляет собой самостоятельный EXE-файл.Еще одна рекомендуемая утилита (в действительности пакет утилит) – это carrot.
А вот утилита fgdump в данном случае неэффективна, ее использовать не советую.
Получение учетных данных из сторонних программ
NirSoft предлагает широкий выбор утилит для получения учетных данных из стороннего программного обеспечения. Многие из этих утилит объединены в самостоятельный EXE-файл, carrot.Также если удалось запустить Meterpreter на целевой системе, то вам очень пригодятся фреймворк Metasploit: во фреймворке есть несколько пост-эксплойт модулей, специально для таких целей. Некоторые из модулей работают стабильно, а другие пока бета-версии и часто завершаются аварийно.
К каким угрозам ведет получение учетных записей сетевых служб
Во время анализа внутренней инфраструктуры сети вам, скорее всего, сначала удастся захватить простую рабочую станцию, а не сервер.Важный шаг на пути к компрометации всей сети – это получение информации о том, какую роль играет именно захваченная вами машина. Если рабочая станция используется ежедневно, то высоки шансы, что пользователь этой рабочей станции имеет доступ к корпоративной почте, внутренним web-сайтам, корпоративному прокси-серверу и другим службам. И, что еще более вероятно, пользователь везде, где можно выбрал “Запомнить пароль”.
“Бесплатный” доступ к таким корпоративным сервисам даже с правами низкопривилегированного пользователя на самом деле бесценен. Автоматический ввод учетных данных поможет вам расширить контроль в сети, а также показать заказчику, что к защите даже самой незначительной, удаленной от демилитаризованной зоны рабочей станции нужно подходить с особой внимательностью.
Очень часто пользователи для доступа к почте, общим папкам и другим сетевым ресурсам используют одни и те же пароли (иногда даже пароль совпадает с паролем учетной записи доменного пользователя), поэтому получение учетных записей сетевых служб имеет огромное значение во время теста на проникновение.
Описанные в этой статье утилиты я добавил в таблицу. Буду рад вашим отзывам и предложениям!
Читайте также: