Секреты ЛСА

Опубликовано: 27 Марта, 2023


Windows NT и Windows 2000 поддерживают кэшированные учетные записи для входа в систему. Операционная система
по умолчанию кэшируются (хранятся локально) последние 10 паролей. Есть настройки реестра, чтобы включить эту функцию
отключить или ограничить количество кэшируемых учетных записей. Имена учетных записей RAS DUN и
пароли хранятся в реестре. Пароли сервисных учетных записей хранятся в
реестр. Пароль для секретной учетной записи компьютера, используемой для связи
в доменном доступе хранится в реестре. Пароли FTP хранятся в
реестр. Все эти секреты хранятся в следующем ключе реестра:

Куст: HKEY_LOCAL_MACHINE
Ключ: БЕЗОПАСНОСТЬПолитикаСекретс

Вы можете себе представить реакцию хакера, когда он увидит это имя реестра? Идти
предстоящий. Запустите regedt32, войдя в систему как администратор. Проверьте
Ключ HKLMSECURITY. ОПС! Он неактивен. Даже с правами администратора вы не можете просматривать
Это. ХОРОШО. Администраторы не могут его видеть, но мы знаем, что локальная система должна иметь возможность его прочитать.
Чтобы просмотреть части реестра, ограниченные локальной системой, вы должны получить
localsystem для запуска regedt32. Как?

скоро regedt32 / я

Утилита скоро является частью комплекта ресурсов. Это простой способ
планировать события. Если у вас нет доступа к набору ресурсов, вы можете использовать
AT-команда (где 02:12 — минута или две в будущем):

В 02:12 regedt32 /я

Параметр /i разрешает сервису взаимодействовать с
рабочий стол, то есть сделать выполняемую команду доступной для рабочего стола. Когда ты
запустите эту команду, вы обнаружите, что ключ HKLMSecrets больше не серого цвета
вне, и вы можете исследовать и просматривать содержимое. Будь очень осторожен. Вы можете серьезно
повредить вашу систему.

Существует инструмент lsadump2 для чтения секретов LSA и отображения наиболее важных моментов.
Результаты, когда я запустил его на своей домашней системе:

D:dnloadlsadump2>lsadump2
 RasCredentials!S-1-5-21-459157917-1707938598-1849977318-500#0
 39 00 39 00 30 00 36 00 32 00 00 00 31 00 36 00 9.9.0.6.2…1.6.
 30 00 30 00 00 00 35 00 00 00 00 00 00 00 77 00 0,0…5…….в.
 6D 00 61 00 70 00 6C 00 65 00 73 00 00 00 00 00 клен…..
 00 00 30 00 00 00 00 00..0…..
 RasDialParams!S-1-5-21-459157917-1707938598-1849977318-500#0
 39 00 39 00 30 00 36 00 32 00 00 00 31 00 36 00 9.9.0.6.2…1.6.
 30 00 30 00 00 00 36 00 33 00 00 00 00 00 2А 00 0,0…6,3…..*.
 00 00 77 00 6D 00 61 00 70 00 6C 00 65 00 73 00..wmaples
 00 00 77 00 77 00 77 00 77 00 77 00 77 00 77 00..wwwwwww
 31 00 00 00 00 00 31 00 00 00 00 00 1…..1…..
 САК
 02 00 00 00 ….
 ВОФК
 02 00 00 00 ….
 _SC_ClipSrv
 74 00 65 00 73 00 74 00 испытание
Ой! он дает имя моей учетной записи коммутируемого доступа, wmaples и мой DUN
пароль, wwwwwww1, а также пароль, используемый для службы ClipBook Server.
Как вы можете себе представить, количество и конфиденциальность информации, раскрываемой при
работать против сервера или рабочей станции администратора домена значительно выше. я
услышать ваш комментарий. Вам нужен доступ к консоли (клавиатура) для запуска команды и нашего
серверы физически защищены.

Но ты действительно в безопасности? Все ли ваши серверы хорошо защищены? Как насчет
этот тестовый сервер в кабинете администратора или в тестовой лаборатории или в углу офиса? Делает
администратор домена держит свою дверь запертой или, по крайней мере, использует защищенный паролем
хранитель экрана, чтобы хакер или любопытный коллега не мог запустить lsadump2 на
его рабочее место, пока он/она на перерыве? Как насчет общего ноутбука, который
случайно делится доменными паролями, если используется lsadump2?

Учетные записи служб часто запускаются с использованием мощной учетной записи уровня домена. Этот
учетную запись и ее пароль можно найти на многих серверах. Прорваться через
барьеры безопасности на наименее защищенных и получить пароль этой учетной записи домена
и у вас есть ключи от города. Звучит довольно мрачно. Это. Тебе следует
внимательно изучите, какие службы запущены и является ли учетная запись локальной
учетная запись или учетная запись домена. Если это учетная запись домена, ограничьте ее полями
он должен работать (если возможно).

Итог: если у вас не было команды по тестированию на проникновение,
тест против вашей среды, ваше состояние безопасности, если, конечно, намного хуже
чем вы можете себе представить.

Предыстория lsadump2: LSAdump2 использует внедрение DLL для обхода обычных
контроль доступа к информации о безопасности, хранящейся в местном органе безопасности
(LSA) в форме секретов LSA (Q184017 и Q230681). Важно понимать, что секреты LSA
что он потенциально может содержать пароли для учетных записей, которые входят в систему из внешних
домены, а также пароли удаленного доступа к сети. Как и pwdump2, lsadump2 может быть
инструмент аудита, который открывает глаза тем, кто считает, что работает в жесткой среде. Все
требуется компрометация одной плохо защищенной системы с внешним входом в систему
учетной записи, и злоумышленники могут проникнуть во внешний домен.

Начните читать мои советы для администраторов NT в области тестирования на проникновение, взлома и обнаружения вторжений.
Информация.

Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023