如何获取全域用户明文密码

最新推荐文章于 2025-04-10 15:11:35 发布
转载 最新推荐文章于 2025-04-10 15:11:35 发布 · 1w 阅读 · 13

简介

在组策略之外,Windows 允许你自定义密码策略,滥用这个机制可以实现一些恶意行为。今天为大家科普下

当我们按下 CTRL + ALT + DEL,修改用户密码时,在 Windows 服务器端,会发生什么呢?

首先,Windows 服务器(域控)会检查注册表,找到 Password Filter,也就是 LSA Notification Package。然后挨个调用DLL,检查密码是否符合策略,

lsa.jpg

如果不符合策略,就提示密码不够健壮,

screen 2017-03-15 at 11.25.46.jpg

在默认情况下,域上的服务器包含两个DLL,其中 seccli 负责实现密码安全策略,也就我们常用的GPO了

gpo.jpg

我们今天的主题,就是如何滥用这个机制,实现一个密码策略插件,以记录所有域用户的密码

一家上市公司,为了符合SOX 404审计要求,密码每三个月就要强制修改一次,刚好可以触发这个机制

查了下官方文档,一个密码插件需要导出三个函数,

src.jpg

其中 PasswordFilter 负责检查密码是否合规;PasswordChangeNotify 是在工作站上执行,负责告知工作站用户密码变更。

最终的源代码和64位的DLL可以在这里下载(使用 build.cmd 编译)

安装插件

我们登陆域控,将编译好的 SecureFilter.dll 复制到 %system32% 目录,

然后打开注册表,找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Notification Package

添加SecureFilter 字样

screen 2017-03-14 at 22.20.52.jpg

重启 DC 服务器后生效

实战演示

我们登陆一台工作站,修改密码,

changepw.jpg

回到域控,发现日志已经写入了

log.jpg

写在最后

经过测试,无论你用何种方式修改密码,OWA 还是命令行,效果都是一样的;在未加域的服务器上效果也是一样

如果想要立即获取某个用户的密码,在域控上轻轻一勾即可 “User must change password at next logon”,如图所示:

screen 2017-03-15 at 11.38.46.jpg

参考资料

  1. https://www.slideshare.net/nFrontSecurity/how-do-password-filters-work
  2. https://technet.microsoft.com/en-us/library/cc963221.aspx
  3. https://msdn.microsoft.com/en-us/library/windows/desktop/ms721766(v=vs.85).aspx.aspx)
如何查看用户密码
weixin_33849942的博客
08-10 5899
声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com。 用户密码是否可以以明文导出,如何导出? 用户密码默认是以不可逆的加密方式存储的,通过第三方工具如copypwd导出的密码是密文。但通过在微软technet上查询到,是可以在密码策略中设置为“启用中的可逆加密密码”的。问这样设...
内网渗透:抓取管理员密码
最新发布
qq_32947907的博客
06-26 984
本文主要介绍了在内网渗透中获取管理员密码的技术方法。通过信息收集定位主机和管理员账号后,可通过多种方式获取密码:1. 直接使用mimikatz工具读取内存密码(适用于低版本系统);2. 高版本系统需修改注册表后强制锁屏等待管理员重新登录;3. 批量扫描多台主机提高获取密码概率;4. 通过RDP凭证或hash破解作为备用方案。文章详细阐述了每种技术的具体操作步骤,并强调获取管理员权限对实现内网横向移动的重要性,同时指出当前防御措施(如KB2871997补丁)对密码获取的限制。
内信息收集
故事讲予风听
07-19 2028
将网络中多台计算机逻辑上组织到一起进行集中管理,这种区别于工作组的逻辑环境叫 做是由制器(Domain Controller)和成员计算机组成,制器就是安装了活动 目录(Active Directory)的计算机。活动目录提供了存储网络上对象信息并使用网络使用该 数据的方法。集中、统一管理。
为什么能通过成员主机拿下服务器的密码
ningyanggege的博客
08-24 860
问题、为什么能从本机上获得其他主机的账号密码呢? 一个具有一定规模的企业,每天都可能面临员工入职和离职,因此网络管理部门经常需要对成员主机进行格式化消除磁盘的文件,然后重装系统及软件,以提供给新员工使用;因此,为了便于后期交接,大多网络管理员会做好一个系统镜像盘,统一安装所有的电脑,并且在安装的时候设置惯用、甚至统一的密码。 因此,中的计算机本地管理员账号,极有可能能够登陆中较多的计算机,本地管理员的密码在服务器上后期修改的概率,远低于在个人办公电脑上的概率,而用户权限是较低的,是无
DLLPasswordFilterImplant:DLL密码过滤器
weixin_43977912的博客
04-28 657
DLLPasswordFilterImplant是一个自定义的密码过滤器DLL,它可以帮助广大安全研究人员捕捉目标用户的凭证信息。中的每一次密码修改事件都将会触发一次DLL注册操作,以便在活动目录中修改用户名和新密码值之前先将它们提取出来。 工具下载 广大研究人员可以使用下列命令将该项目的源码克隆至本地: git clone https://github.com/GoSecure/DLLPasswordFilterImplant.git 工具安装 首先,针对目标操作系统架构创建DLL文件,如果是64位系统
漏洞权限管理-制器告警
ITmoster的博客
11-13 435
最近的 Zerologon漏洞(CVE-2020-1472)成了特权提升漏洞的头条新闻,它可能会影响组织中的所有计算机和制器。 这个被称为Zerologon的高风险漏洞使威胁者可以轻松即时地访问制器,而无需提供任何其他特权。这种攻击甚至不需要对用户进行身份验证;威胁者甚至只需要连接到内部网络即可。 什么是Zerologon漏洞? 这是Netlogon中的一个漏洞,该身份验证协议用于验证加入的计算机对制器的身份。它被归类为高风险(CVSS评分为10),因此该漏洞意味着泄露用户帐户甚至不需要向
查看用户密码_Skeleton Key(万能密码)对内权限维持
weixin_39756445的博客
12-13 3542
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 39 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更Skeleton Key使用 Skeleton Key(万能密码),可以对内权限进行持久化操作。使用 mimikatz 完成注入 Skeleon Key 的操作,将 Skeleton Key 注入制器的 lsass.exe ...
渗透之获取用户明文凭据
ToyCarryYou的博客
05-13 1133
明文凭据 使用工具直接获取明文密码(需要管理员权限) mimikatz mimikatz是法国安全研究员本杰明,德尔皮开发的一款轻量级调试器,能够从windows认证进程中获取windows处于active状态时的账号明文密码 2.0版本后不需要注入进程即可获取明文密码。 下载网址,https://github.com/gentilkiwi/mimikatz/releases 下载完后可能会被杀毒...
基于密码的数据安全防护体系研究
aK031999的博客
03-21 1151
隐私计算研习社 摘 要:数据已成为数字经济时代最核心、最具价值的生产要素,为全球经济增长不断注入新动力、新能量。随着数据利用的不断深入,数据规模不断扩大,数据泄露、滥用等风险日益凸显,亟需建设数据安全防护能力,防范数据安全风险,护航数字经济发展。密码是保护数据安全的关键技术手段,在建立网络主体身份体系,确保数据机密性、完整性,促进数据流通等方面起到核心支撑作用。梳理了近期发布的数据安全相关法律法规中的密码要求,重点分析了数据全生命周期中密码发挥的核心作用,提出了基于密码的数据安全防护体系,并探讨了未来的研究
全域安全防范美国NSA对西工大的网络攻击
Laxcus大数据技术专栏
09-27 3237
本篇介绍全域安全管理模型如何防范美国NSA的网络攻击,适用范围不只西工大
密码学-08(1)公钥加密理论
Wxiran的博客
10-03 831
密码学08-1
如何破解服务器管理员密码
02-23
文档介绍,如果忘记密码,如何进行破解,怎么样操作
CHES2024 issue-1文章总结
dedanddwb的博客
07-25 792
来源:https://ches.iacr.org/2024/acceptedpapers.php时间截止:2024.6.29, 2004年应该还有issue3和issue4。
Server系列9:如何知道用户密码的使用情况?(Done)
weixin_34331102的博客
03-25 428
如何知道用户密码的使用情况?(Done)对于账户的管理,为了杜绝猜测密码***,管理员一般都会启用复杂密码策略,那么对于企业普通用户来说,如何知晓他的PC是否被启用了什么密码策略?对于企业管理员来说,如何知晓普通用户密码使用情况,比如是否及时更新密码,以及最后一次更新密码是什么时候?那么这边就说说如何处理这两类情况。一、环境信息1.1功能信息序号项目查询点备注1查...
用户更改密码提示拒绝访问_Kerberos KDC权限提升漏洞总结
weixin_39559333的博客
12-03 1157
01漏洞起源Windows Kerberos 对 kerberos tickets 中的 PAC(Privilege Attribute Certificate)的验证流程中存在安全漏洞,低权限的经过认证的远程攻击者利用该漏洞可以伪造一个PAC并通过 Kerberos KDC(Key Distribution Center)的验证,攻击成功使得攻击者可以提升权限,获取管理权限。02漏洞描述(1)...
密码抓取
m0_73995253的博客
04-10 635
NTDS.DIT是DC的数据库,内容有用户组、用户Hash等信息,上的ntds.dit只有可以登录用户(如用户、DC本地管理员用户)可以访问,为了进一步保护密码hash值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。位置:C:\Windows\NTDS。
通过制器获取用户密码_出差在外地,忘了登录密码,却想登服务器,别慌...
weixin_39914732的博客
12-05 1515
在出差用户面临的众多问题中,忘记密码也是阻碍工作效率的原因之一,因为它们需要管理员的帮助。当用户登录到AD时(活动目录Active Directory)Windows会缓存凭据,将其本地存储在计算机上。缓存的目的是让用户出差或无网络的情况下,也能够登录。但是,当出差用户忘记密码时,他们无法重置密码。即便出差用户想用第三方工具重置密码,在断网的情况下也无法与制器通信。因此,新密码和缓存凭据...
Windows-如何查看用户的最终密码更改日期等详细信息
热门推荐
shi_ly的专栏
09-25 1万+
有些公司的用户密码是有期限的,比如1个月,3个月之类的。 作为管理者或个人,你想查看自己或他人的用户信息,比如上述的最终密码更改日期时间,就可以用下面这个命令。 net user USERID /domain ※请把上面的红字改为你自己的用户名 <比如下面这张图,最终密码变更日期时间是 2017/11/26,如果是3个月有效期的话,到2018/2/25之前就该督促TA改密码了> ...
转储RDP在线用户明文密码
04-01
<think>好的,用户的问题是关于如何提取RDP在线会话的明文密码的方法或工具。首先,我需要根据提供的参考资料来整理相关信息。引用[1]中提到使用mimikatz获取高权限并读取lsass.exe进程中的明文密码,但需要注意补丁可能阻止这一操作。引用[2]和[3]则涉及RDP凭据的获取方法,包括环境变量和密码安全技术。 接下来,我需要考虑用户的实际需求。用户可能希望了解当前有效的方法,尤其是在系统更新后的绕过技巧。需要分步骤说明,包括工具使用、权限提升、绕过补丁的方法,以及替代方案如注册表导出和第三方工具。同时,必须提醒用户法律和道德风险,强调合法授权的重要性。 还要注意引用来源的正确标注,确保每个步骤末尾自然添加引用标识。需要检查LaTeX格式是否正确,但根据用户的问题,可能不需要数学公式,所以重点放在代码块和步骤说明上。最后生成相关问题,帮助用户进一步探索相关主题,比如补丁绕过、Procdump的使用场景等。</think>### RDP在线会话明文密码提取方法 根据已知技术资料,获取RDP在线用户明文密码的核心方法是利用内存凭证提取技术,具体步骤如下: 1. **权限提升** ```cmd mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit ``` 需先通过`privilege::debug`命令获取调试权限,这是读取系统进程内存的前提条件[^1]。 2. **LSASS进程内存分析** Windows系统会将RDP连接凭证缓存在lsass.exe进程中。使用管理员权限运行mimikatz后,执行: ```powershell mimikatz# sekurlsa::minidump lsass.dmp mimikatz# sekurlsa::tspkg ``` 可提取包括RDP在内的多种登录凭证[^1]。 3. **补丁绕过技术** 微软在KB2871997补丁后限制了明文存储,但可通过以下方式绕过: - 修改注册表启用WDigest ```reg reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /v UseLogonCredential /t REG_DWORD /d 1 /f ``` - 强制重启后新登录的凭证将以明文形式存储 4. **注册表提取法** RDP连接历史记录存储在注册表路径: `HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers` 可通过regedit导出相关键值,部分情况下可获取保存的凭据[^2] 5. **第三方工具辅助** - 使用ProcDump提取lsass.exe进程镜像: ```powershell procdump.exe -accepteula -ma lsass.exe lsass.dmp ``` - 再通过mimikatz离线分析dmp文件[^3] ### 注意事项 1. 所有操作需在合法授权下进行 2. 现代系统默认禁用明文存储,需结合补丁状态选择方法 3. 部分杀毒软件会拦截凭证提取行为
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值