泄露 Active Directory 中的明文密码

人们对防止哈希传递和票证传递攻击给予了很多关注，但这些策略限制了对手可以从命令行执行的操作。泄露明文密码可以让攻击者无限制地访问帐户，其中包括访问 Web 应用程序、VPN、电子邮件等。

提取明文密码的一种方法是通过 Kerberoasting，但这种强力技术需要大量时间和耐心。 有更快、更简单的方法来提取明文密码，我们将在本文中探讨。

组策略首选项

在 Windows Server 2008 中，Microsoft 引入了组策略首选项 (GPP)。 GPP 的常见用例之一是在服务器和工作站上创建和管理本地帐户（例如管理员帐户）。 作为其中的一部分，管理员可以为这些帐户推出密码。

密码存储在 SYSVOL 中的组策略 XML 文件中，并使用 AES 密钥进行加密。然而，微软发布了 AES 密钥，可用于解密这些密码，使它们成为有效的明文密码。

由于 SYSVOL 共享对经过身份验证的用户开放，因此组织中的任何用户都可以读取存储在其中的文件。因此，任何用户帐户都可以找到并解密组策略文件，从而获得对管理员帐户明文密码的访问权限。 PowerSploit 命令 Get-GPPPassword 将为您查找并解密这些密码。

有关这方面的更详细的文章，请查看 Sean Metcalf 的帖子和 Microsoft 的帖子。此外，Microsoft 还提供了一个有用的脚本，用于扫描包含密码的 GPP，作为其安全公告的一部分。

Mimikatz 和 LSASS 小型转储

通常，Mimikatz 用于从内存中提取 NTLM 密码哈希值或 Kerberos 票证。然而，其鲜为人知的功能之一是能够从为 LSASS 进程创建的转储中提取纯文本密码。这意味着攻击者无需在域控制器上运行任何恶意代码即可破解明文密码。转储文件可以交互方式或使用 ProcDump 创建，在任何一种情况下，该活动都不太可能被防病毒软件标记。创建转储后，可以从域控制器复制它们，并可以使用 Mimikatz 离线获取明文凭据。

您可以在此处查看使用 ProcDump 在域控制器上创建进程转储的情况：

该命令本质上创建了 LSASS 进程的快照，其中包含明文密码信息：

创建后，可以将该文件复制到另一台主机，以便使用 Mimikatz 进行离线密码提取。通过使用 sekurlsa::minidump 命令，您可以将 Mimikatz 的上下文切换到提取的转储文件并发出 sekurlsa::logonpasswords 命令：

使用 Mimikatz 对抗摘要式身份验证协议

Windows XP 中引入的摘要式身份验证协议 (WDigest.dll) 用于 HTTP 和 SASL。最重要的是，启用 WDigest 将导致存储本地身份验证帐户的明文凭据。 2014 年，Microsoft 发布了一个补丁，允许您使用 UseLogonCredential 注册表值禁用 WDigest。 然而，许多组织仍然运行许多启用了 WDigest 的服务器和工作站。

如果启用 WDigest，攻击者可以使用 sekurlsa::logonpasswords 命令轻松提取纯文本凭据：

利用可逆加密

Active Directory 允许使用可逆加密来存储用户密码，这与以纯文本形式存储用户密码本质上相同。此策略是在 Windows Server 2000 中引入的，并且在最新版本中仍然存在。 据微软称，引入它是为了“为使用需要用户密码进行身份验证的协议的应用程序提供支持”。

默认情况下，此策略处于关闭状态；但如果启用，攻击者可以使用 DCSync 等技术轻松提取明文密码：

上面的命令将返回明文密码：

可以通过组策略用户帐户控制设置和细粒度密码策略来启用可逆加密策略。攻击者可能能够恶意创建链接到域管理员的细粒度密码策略，以使其密码能够以可逆加密方式存储，从而使他们能够访问特权帐户的明文密码。

结论

正如您所看到的，感兴趣的攻击者不乏获取 Active Directory 帐户明文密码的方法。有关更多信息，请阅读我们有关使用 PowerSploit 提取明文密码、查找弱密码、攻击弱密码和攻击本地帐户密码的相关文章。

Netwrix StealthDEFEND 使您能够有效地检测基础设施中的这种攻击甚至更复杂的攻击，并实时响应它们。