Windows: Как узнать пароли пользователей авторизованных в системе.
Как известно windows хранит пароли пользователей в виде хеша в файле C:\windows\system32\config\sam. Но c пользователями залогиненными в системе дело обстоит немножко по другому. Штука в том, что некоторые системные процессы в своих служебных целях все-таки используют пароли пользователей в открытом (или зашифрованном) виде, а не их хэши. C помощью утилиты mimikatz при наличии прав администратора можно выцепить пароли авторизованных пользователей.
Вариант 1. Достаём пароли из памяти.
Для этого нам понадобятся пользователь с правом на отладку (привилегиями SeDebugPrivilege) и утилита Mimikatz (скачать можно с оф.сайта или отсюда пароль: tmie.ru). Так как права на отладку есть как и локального так и у доменного администраторов, локальный админ может узнать пароль доменного.
Запускаем Mimikatz с правами администратора, включаем отладку:
создаем лог-файл:
сохраняем пароли в файл:
В итоге получаем файлик с паролями пользователей в открытом виде.
Вариант 2. Достаем пароли из дампа процесса lsass.exe.
Если на нужном сервере или рабочей станции утилиту блокирует антивирусник, или вы физически не можете работать одновременно с пользователями, можно снять дамп памяти процесса lass.exe ручками или планировщиком.
Снять дамп памяти процесса можно с помощью модуля: Out-Minidump.ps1 (скачать можно отсюда или отсюда)
Импортируем модуль в powershell:
Снимаем дамп процесса lsass.exe.
Получаем файл дампа памяти процесса. Файл лежит либо в system32, либо в папке откуда запускалась команда. Имя файла выглядит lsass_<ID процесса>.dmp.
Запускаем mimikatz и натравливаем его на наш дамп:
Дальше всё так же как и в первом варианте:
Вариант 3. Достаём пароли из файла гибернации (hyberfile.sys).
При желании можно скопировать файл гибернации, конвертнуть его в dmp, и распарсить дебагером. Детально расписано здесь: (Хабр).
Windows memory toolkit community edition (скачать).
Комментарии
RSS лента комментариев этой записи