Доброго времени суток. Итак, нужно получить хэш пароля(ну или сам пароль) от админки домена. Все это дело стоит на Win server 2012 r2. Имеется физический доступ к пк, админка локального пользователя и учётная запись в домене с ограниченными правами. Есть какие нибудь предложения как можно справиться с задачей без использовании Metasploit?
-
B правой части каждого сообщения есть стрелки ⇧ и ⇩. Не стесняйтесь оценивать ответы. Чтобы автору вопроса закрыть свой тикет, надо выбрать лучший ответ. Просто нажмите значок ✔ в правой части сообщения.
-
Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе
Админка домена
- Автор темы MirTex_LAN
- Дата начала
-
- Теги
- домен
Там хранятся хеширование пароли от локальных пользователей, а мне нужна админка ДОМЕНА
Может быть я ослеп когда читал статейки,но я не нашел варианты без доступа к контроллеру. Т.е вариант когда у тебя только локальный админ и пользователь домена(win serv не на моем компе). Можно пожалуйста лицом ткнуть где это все обговаривается? Буду благодарен. :3
dominikanec
Well-known member
попробуй поднять привелегии до администратора используя
Ссылка скрыта от гостей
, а там делай что хошну для брута может пригодиться)
Так этот сплоит разве не для локальной админки ? (мне нужна админка ДОМЕНА)
Постараюсь реабелитироваться немного,надеюсь,что хотя бы ,какие-то мысли Вам пригодятся и мой ответ будет полезен для Вас.
Тема острая на самом деле,актуальная.
Первый лёгкий способ,не уверен,прокатит ли.
А если попытаться запустить командную строку от администратора?.(какой-то админ должен быть)
Ввести такую команду
Утилиту можно попробовать PCUnlocker ,может поможет чем-то.
Есть техника с применением Powershell,требующие доступа к контроллеру.
Это не про Ваш случай.
Что касается остальных соображений,то вынужден оговорить такой момент,что они незаконны.
Форум наш не содействует при проведении незаконных атак,мы можем обозначить лишь некие моменты в таких случаях.
Здесь я не конкретно обращаюсь к Вам,но таковы адекватные реалии и их нельзя игнорировать.
Я просто выскажу свои мысли и всё,а вот остальное пусть останется на Ваше усмотрение.
(Кстати,для тех,кто будет интересоваться такими техниками:информацию можно получить при желании из свободных источников).
Потому ,что информация многотонная если её описывать более детально и,честно ,так сказать-чем могу.
Все эти техники разработаны командами Read Team и Black Hat.
Metasploit раз не устраивает,значит обойдёмся без него.
Желательно знать какая версия Kerberos используется.
Хотя на данный момент одна из недавних уязвимостей CVE-2018-5709 ,помимо остальных ,также относится к версиям до 1.16
И возможна из-за неверной переменной u4 ,используемой ранее для 32-разрядных версий.Это ошибка разработчика.
Очень часто для атак (а ещё более тут,извините ,не знаю вариантов, если нет доступа к контроллеру)применяется Mimikatz.
Который позволяет повысить привелегии существующего пользователя.
Задача осложняется в случае наличия Kerberos 5 обновлённого,при котором получение мандата происходит после подтверждения личности.
Ну и TGS ещё конечно же.Также,установлен ли патч KB3011780 на контроллере.
Если нет,то можно попытаться использовать известную уже уязвимость MS14-068.
Условия её выполнения:Имеются внутри системы учётные данные пользователя домена.
Направлена такая атака для поиска SYSVOL DFS и файлов XML,содержащих учётные данные (groups.xml,services.xml и т.д.)
SYSVOL автоматически синхронизируется и распределяется между всеми контроллерами домена.
А групповые политики домена находятся по пути:
В SYSVOL создаётся файл XML с данными конфигурации и там может быть пароль с шифрованием AES-256 .
В этом случае,пользователи в доверенном домене имеют доступ на чтение к общим ресурсам SYSVOL.
искать надо файлы XML,содержащих cpassword с зашифрованным паролем AES.
Закрытый же ключ AES используется уже для дешифрования пароля GPP.
Для этого применяется PowerSploit Get-GPPPassword .
Для защиты (чего уж там,надо и об этом говорить) рекомендуется удалить XML-файлы GPP в SYSVOL, содержащие пароли.
И не помещать пароли в файлы, доступные всем пользователям, прошедшим проверку подлинности.
Патчи установить само собой.
Следующий способ основан на основании слабых паролей.
Kerberos в данном случае,работает против себя и применяется для извлечения учётных данных из Active Directory от обычного пользователя.
Отправка каких-либо пакетов в целевую систему здесь не требуется.
Но,что здесь:если мы видим грамотное администрирование,а это когда службы сопоставляются с учетной записью машины в Active Directory.
Соответственно,связанная с паролем,преобразованным в 128 символов,то такая атака неактуальна! (Настоящий пароль 10-12 при этом может иметь символов)
В противном случае,применяется запрос,использующий действительные данные аутентификации пользователя домена (TGT) на обслуживание целевой службы, запущенной на сервере.
Это касается юзера-участника-службы (SPN) целевой учетной записи.
Что самое интересное-запрос использует действительные данные аутентификации пользователя домена
(TGT опять-таки) для последующего запроса одного или нескольких тикетов на обслуживание целевой службы сервера.
Контроллер домена не отслеживает, действительно ли пользователь подключается к этим ресурсам ( даже если у пользователя есть доступ).
Контроллер домена просматривает SPN в Active Directory и шифрует тикет, используя учетную запись службы, связанную с SPN,
чтобы служба проверяла доступ пользователя.
Тип шифрования тикета службы Kerberos - это RC4_HMAC_MD5.
Перебрав различные хеши NTLM ,Kerberoast может открыть доступ.
Здесь конечно применяется брут и не требуется повышение прав.
Используется tgsrepcrack:
Защитой здесь служит пароль в более 25 символов.
Ещё способ: Основан на переустановке украденных учётных данных.
Основан он на использовании администраторов Active Directory RunAs.
Здесь же использование RDP ими для подключения к серверу.
Обычно при такой атаке всаживают кейлоггер доступными способами.
При этом используется Mimikatz для выполнения проверки подлинности на других рабочих станциях с правами администратора.
Прокатит в случае одинакового имени учётной записи администратора с паролем на многих или всех рабочих станциях.
Гарантирует Подключение к другим учётным записям рабочих станций и дампам.
В данном случае ,использование локальных учетных записей является идеальным, поскольку их использование не регистрируется в контроллерах домена,
и несколько организаций отправляют журналы безопасности рабочей станции в центральную систему регистрации (SIEM).
Украденные данные могут быть использованы для подключения к серверам с клиентским доступом( Microsoft Exchange OWA,Microsoft Exchange (CAS),
Microsoft SQL и службы терминалов (RDP),которые имеют множество учётных данных в памяти от недавно прошедших проверку подлинности пользователей.
Имеется в виду тех,кто с правами администратора домена.
Имеет место быть сброс учётных данных из LSASS и возможность повторного их использования.
Здесь применяется PowerShell с возможностью использования учётных данных с помощью CredSSP.
Т.е ,Network Clear-Text Logon подставляется вместо Network Logon.
Принцип двойного хоста,в котором один сервер пройдёт проверку подлинности на другом.
Применимо это не на обновлённом Windows Server 2012.
Защитой служит не использование CredSSP во избежание введения вредоносного кода в службу подсистемы локальной безопасности (LSASS.exe)
и от перехвата пароля при пересылках.
Идём далее: настройка конфигурации в WinRM(AllowUnencrypted).
Если это значение установлено в True,то это удаляет шифрование из любого соединения WinRM с системой, включая удалённый PowerShell.
Передача хэша перейдёт в Pass-the-Credential.
Это конечно больше касается паролей в хэшах NTLM,но связанных с учётнами записями.
Здесь используется то,что взлом этого хэша и не требуется.
т.к.Windows в данном случае требует только хэш и имя учетной записи для аутентификации.
В этом случае,продукты Microsof не поддерживают передачу хэша и выручает опять-таки Mimikatz.
Он поддерживает сбор либо тикетов Kerberos текущего пользователя, либо для всех пользователей,прошедших проверку подлинности в системе.
Pass-the-Hash захватывает хэш и используется для доступа к ресурсу.
Причём,хэш действителен до тех пор, пока пользователь не изменит пароль учётной записи.
Pass-the-Ticket -тикет Kerberos ,используется для доступа к ресурсу и действителен в течении недели.
А вот OverPass-the-Hash - служит для получения тикета Kerberos и хэш также действителен пока пользователь не изменит пароль своей учётки.
Защита: Учётные записи администратора никогда не должны регистрироваться на обычных рабочих станциях, где выполняются такие действия пользователя,
как электронная почта и web-просмотр.Это ограничит возможность кражи учётных данных.
И запрет входа в систему администраторам организации одновременно с админами домена.
Следующий метод-охота за файлами ntds.dit.))
База данных Active Directory содержит всю информацию обо всех объектах в домене в них.
Такие файлы содержат хэши паролей для всех учетных записей пользователей домена и машины.
Доступ к файлу ntds.dit-компроментация всего.
И чтобы получить данные ntds.dit,не обязательно быть администратором домена.
Если сервер не защищён как полагается,то возможно (очень часто) есть резервные копии ntds.dit.
Речь идёт о наборе IFM (Install from Media),который является копией файла ntds.dit.
Он может быть размещён на общем ресурсе для продвижения новых контроллеров домена.
Или новом сервере,который вот-вот должен быть введён в эксплуатацию.
Условия тут простые-наличие применения виртуализации.
С правами администратора на хосте,DC можно клонировать,а связанные с ним данные будут скопированы в автономном режиме.
Получение доступа к данным виртуального хранилища -доступ к учётным данным домена.
Использование VMWare характерно тем,что администраторы VCenter являются полными админами.
А с такими правами можно склонировать DC и скопировать данные на локальный жесткий диск.
Когда же VM приостановлена,можно извлечь данные LSASS из памяти VM.
Здесь же используется возможность backdoor AD через учётную запись администратора сервера.
группы с возможностью входа в контроллер домена по умолчанию:
Администраторы организации,Операторы печати,резервного копирования,счетов,Админы домена.
Возможность поставленной угрозы учёток вот этих вот операторов-это возможность компроментации домена Active Directory
т.к эти группы имеют права входа в систему для контроллеров домена как правило.
Для этих же целей применяются утилиты wmiexec.py,VSSAdmin,smbrelayx.py с mitm6 и Responder.
Как защититься от этого: Ограничение групп или учёток, которые имеют права на вход в контроллеры домена.
Лимитирование учётных записей с полными правами Active Directory,особенно с доступом к службам.
Не размещать копию базы данных Active Directory (ntds.dit) в системах,ниже уровня контроллера домена.
(Низкий уровень доверия)
Mimikatz тут может работать для сброса памяти LSASS и извлекать учетные данные из файла LSASS.dmp в другой системе.
Также,можно сбросить память LSASS с помощью диспетчера задач.
В контроллере домена это почти всегда приводит к учётным данным администратора домена:
Что здесь ещё:при получении копии файла NTDS.dit,данные учёток в файле базы данных Active Directory могут быть извлечены.
Применяется инструмент Impacket для сюроса DIT.
Ещё актуален метод Get-ADDBAccount,в котором с PowerShell сбрасываются данные из файла ntds.dit.
Работает он как раз для Windows 8 и Windows Server 2012.
Основан он из получения Golden Tickets по причине компроментации одного из доменов.
И это ещё не всё:для скрытого копирования файла ntds.dit удачно применяют PowerSploit через Powershall с функцией NinjaCopy.
При этом идёт извлечение и паролей с хэшами.
Если отдельно говорить о применении c Powershell Powersploit,то стоит обратить внимание на следующее:
PowerSploit отлично выполняет и разведывательную функцию для поиска в Active Directory.
Это команда Get-NetGPOGroup ,перечисляющая все объекты групповой политики в домене и расширяет параметры ограниченных групп.
Так узнаётся где пользователям предоставлено членство в локальной группе через объекты групповой политики.
В итоге, получаем список всех пользователей, которым были предоставлены различные привилегии в домене.
Хорошо идёт и применение модулей Find-LocalAdminAccess (выводит список членов группы Администраторы)
Invoke-ShareFinder (выводит список общих папок)
Invoke-FileFinder (находит файлы)
Есть утилита PowerUpSQL , она применяется для атак на серверы SQL.
Её обычно совмещают с командой Invoke-SQLDumpInfo.
И в завершении ,наконец,можно применить ещё одну технику атаки-DCShadow.
Помогает её реализовать всё тот же Mimikatz и DCSync
Атака применяется на контроллер домена чтобы пробросить Mimikatz или Invoke-Mimikatz на нём.
И с помощью KRBTGT password hash заполучить Golden-тикет.
Здесь не требуется ни копирование файлов из Active Directory ,ни интерактивный вход в систему.
хэши паролей выводятся из контроллера домена прямо по сети.
Потребуются также данные какого-либо админа,т.к.у обычных пользователей права только на чтение и выгрузить пароли не выйдет.
Да,с DCSync надо быть внимательными,т.к. у неё имеется опция удаления данных паролей.
К тому же,её работа ещё и детектится при мониторинге сети.
Тема острая на самом деле,актуальная.
Первый лёгкий способ,не уверен,прокатит ли.
А если попытаться запустить командную строку от администратора?.(какой-то админ должен быть)
Ввести такую команду
Код:
net user Administrator P@ssword12345 /domainУтилиту можно попробовать PCUnlocker ,может поможет чем-то.
Есть техника с применением Powershell,требующие доступа к контроллеру.
Это не про Ваш случай.
Что касается остальных соображений,то вынужден оговорить такой момент,что они незаконны.
Форум наш не содействует при проведении незаконных атак,мы можем обозначить лишь некие моменты в таких случаях.
Здесь я не конкретно обращаюсь к Вам,но таковы адекватные реалии и их нельзя игнорировать.
Я просто выскажу свои мысли и всё,а вот остальное пусть останется на Ваше усмотрение.
(Кстати,для тех,кто будет интересоваться такими техниками:информацию можно получить при желании из свободных источников).
Потому ,что информация многотонная если её описывать более детально и,честно ,так сказать-чем могу.
Все эти техники разработаны командами Read Team и Black Hat.
Metasploit раз не устраивает,значит обойдёмся без него.
Желательно знать какая версия Kerberos используется.
Хотя на данный момент одна из недавних уязвимостей CVE-2018-5709 ,помимо остальных ,также относится к версиям до 1.16
И возможна из-за неверной переменной u4 ,используемой ранее для 32-разрядных версий.Это ошибка разработчика.
Очень часто для атак (а ещё более тут,извините ,не знаю вариантов, если нет доступа к контроллеру)применяется Mimikatz.
Который позволяет повысить привелегии существующего пользователя.
Задача осложняется в случае наличия Kerberos 5 обновлённого,при котором получение мандата происходит после подтверждения личности.
Ну и TGS ещё конечно же.Также,установлен ли патч KB3011780 на контроллере.
Если нет,то можно попытаться использовать известную уже уязвимость MS14-068.
Условия её выполнения:Имеются внутри системы учётные данные пользователя домена.
Направлена такая атака для поиска SYSVOL DFS и файлов XML,содержащих учётные данные (groups.xml,services.xml и т.д.)
SYSVOL автоматически синхронизируется и распределяется между всеми контроллерами домена.
А групповые политики домена находятся по пути:
Код:
\\ <DOMAIN> \ SYSVOL \ <DOMAIN> \ Policies \В этом случае,пользователи в доверенном домене имеют доступ на чтение к общим ресурсам SYSVOL.
искать надо файлы XML,содержащих cpassword с зашифрованным паролем AES.
Закрытый же ключ AES используется уже для дешифрования пароля GPP.
Для этого применяется PowerSploit Get-GPPPassword .
Для защиты (чего уж там,надо и об этом говорить) рекомендуется удалить XML-файлы GPP в SYSVOL, содержащие пароли.
И не помещать пароли в файлы, доступные всем пользователям, прошедшим проверку подлинности.
Патчи установить само собой.
Код:
mimikatz # kerberos::ptc c:\temp\TGT_user@.Назв_домена.ссacheСледующий способ основан на основании слабых паролей.
Kerberos в данном случае,работает против себя и применяется для извлечения учётных данных из Active Directory от обычного пользователя.
Отправка каких-либо пакетов в целевую систему здесь не требуется.
Но,что здесь:если мы видим грамотное администрирование,а это когда службы сопоставляются с учетной записью машины в Active Directory.
Соответственно,связанная с паролем,преобразованным в 128 символов,то такая атака неактуальна! (Настоящий пароль 10-12 при этом может иметь символов)
В противном случае,применяется запрос,использующий действительные данные аутентификации пользователя домена (TGT) на обслуживание целевой службы, запущенной на сервере.
Это касается юзера-участника-службы (SPN) целевой учетной записи.
Что самое интересное-запрос использует действительные данные аутентификации пользователя домена
(TGT опять-таки) для последующего запроса одного или нескольких тикетов на обслуживание целевой службы сервера.
Контроллер домена не отслеживает, действительно ли пользователь подключается к этим ресурсам ( даже если у пользователя есть доступ).
Контроллер домена просматривает SPN в Active Directory и шифрует тикет, используя учетную запись службы, связанную с SPN,
чтобы служба проверяла доступ пользователя.
Тип шифрования тикета службы Kerberos - это RC4_HMAC_MD5.
Перебрав различные хеши NTLM ,Kerberoast может открыть доступ.
Здесь конечно применяется брут и не требуется повышение прав.
Используется tgsrepcrack:
Код:
# pyton tgsrepcrack.py wordlist.txt Mssql..Защитой здесь служит пароль в более 25 символов.
Ещё способ: Основан на переустановке украденных учётных данных.
Основан он на использовании администраторов Active Directory RunAs.
Здесь же использование RDP ими для подключения к серверу.
Обычно при такой атаке всаживают кейлоггер доступными способами.
При этом используется Mimikatz для выполнения проверки подлинности на других рабочих станциях с правами администратора.
Прокатит в случае одинакового имени учётной записи администратора с паролем на многих или всех рабочих станциях.
Гарантирует Подключение к другим учётным записям рабочих станций и дампам.
В данном случае ,использование локальных учетных записей является идеальным, поскольку их использование не регистрируется в контроллерах домена,
и несколько организаций отправляют журналы безопасности рабочей станции в центральную систему регистрации (SIEM).
Украденные данные могут быть использованы для подключения к серверам с клиентским доступом( Microsoft Exchange OWA,Microsoft Exchange (CAS),
Microsoft SQL и службы терминалов (RDP),которые имеют множество учётных данных в памяти от недавно прошедших проверку подлинности пользователей.
Имеется в виду тех,кто с правами администратора домена.
Имеет место быть сброс учётных данных из LSASS и возможность повторного их использования.
Здесь применяется PowerShell с возможностью использования учётных данных с помощью CredSSP.
Т.е ,Network Clear-Text Logon подставляется вместо Network Logon.
Принцип двойного хоста,в котором один сервер пройдёт проверку подлинности на другом.
Применимо это не на обновлённом Windows Server 2012.
Защитой служит не использование CredSSP во избежание введения вредоносного кода в службу подсистемы локальной безопасности (LSASS.exe)
и от перехвата пароля при пересылках.
Идём далее: настройка конфигурации в WinRM(AllowUnencrypted).
Если это значение установлено в True,то это удаляет шифрование из любого соединения WinRM с системой, включая удалённый PowerShell.
Передача хэша перейдёт в Pass-the-Credential.
Это конечно больше касается паролей в хэшах NTLM,но связанных с учётнами записями.
Здесь используется то,что взлом этого хэша и не требуется.
т.к.Windows в данном случае требует только хэш и имя учетной записи для аутентификации.
В этом случае,продукты Microsof не поддерживают передачу хэша и выручает опять-таки Mimikatz.
Он поддерживает сбор либо тикетов Kerberos текущего пользователя, либо для всех пользователей,прошедших проверку подлинности в системе.
Pass-the-Hash захватывает хэш и используется для доступа к ресурсу.
Причём,хэш действителен до тех пор, пока пользователь не изменит пароль учётной записи.
Pass-the-Ticket -тикет Kerberos ,используется для доступа к ресурсу и действителен в течении недели.
А вот OverPass-the-Hash - служит для получения тикета Kerberos и хэш также действителен пока пользователь не изменит пароль своей учётки.
Защита: Учётные записи администратора никогда не должны регистрироваться на обычных рабочих станциях, где выполняются такие действия пользователя,
как электронная почта и web-просмотр.Это ограничит возможность кражи учётных данных.
И запрет входа в систему администраторам организации одновременно с админами домена.
Следующий метод-охота за файлами ntds.dit.))
База данных Active Directory содержит всю информацию обо всех объектах в домене в них.
Такие файлы содержат хэши паролей для всех учетных записей пользователей домена и машины.
Доступ к файлу ntds.dit-компроментация всего.
И чтобы получить данные ntds.dit,не обязательно быть администратором домена.
Если сервер не защищён как полагается,то возможно (очень часто) есть резервные копии ntds.dit.
Речь идёт о наборе IFM (Install from Media),который является копией файла ntds.dit.
Он может быть размещён на общем ресурсе для продвижения новых контроллеров домена.
Или новом сервере,который вот-вот должен быть введён в эксплуатацию.
Условия тут простые-наличие применения виртуализации.
С правами администратора на хосте,DC можно клонировать,а связанные с ним данные будут скопированы в автономном режиме.
Получение доступа к данным виртуального хранилища -доступ к учётным данным домена.
Использование VMWare характерно тем,что администраторы VCenter являются полными админами.
А с такими правами можно склонировать DC и скопировать данные на локальный жесткий диск.
Когда же VM приостановлена,можно извлечь данные LSASS из памяти VM.
Здесь же используется возможность backdoor AD через учётную запись администратора сервера.
группы с возможностью входа в контроллер домена по умолчанию:
Администраторы организации,Операторы печати,резервного копирования,счетов,Админы домена.
Возможность поставленной угрозы учёток вот этих вот операторов-это возможность компроментации домена Active Directory
т.к эти группы имеют права входа в систему для контроллеров домена как правило.
Для этих же целей применяются утилиты wmiexec.py,VSSAdmin,smbrelayx.py с mitm6 и Responder.
Как защититься от этого: Ограничение групп или учёток, которые имеют права на вход в контроллеры домена.
Лимитирование учётных записей с полными правами Active Directory,особенно с доступом к службам.
Не размещать копию базы данных Active Directory (ntds.dit) в системах,ниже уровня контроллера домена.
(Низкий уровень доверия)
Mimikatz тут может работать для сброса памяти LSASS и извлекать учетные данные из файла LSASS.dmp в другой системе.
Также,можно сбросить память LSASS с помощью диспетчера задач.
В контроллере домена это почти всегда приводит к учётным данным администратора домена:
Код:
mimnikatz # securlsa::minidump c :\temp\lsass.dmpЧто здесь ещё:при получении копии файла NTDS.dit,данные учёток в файле базы данных Active Directory могут быть извлечены.
Применяется инструмент Impacket для сюроса DIT.
Ещё актуален метод Get-ADDBAccount,в котором с PowerShell сбрасываются данные из файла ntds.dit.
Работает он как раз для Windows 8 и Windows Server 2012.
Основан он из получения Golden Tickets по причине компроментации одного из доменов.
И это ещё не всё:для скрытого копирования файла ntds.dit удачно применяют PowerSploit через Powershall с функцией NinjaCopy.
При этом идёт извлечение и паролей с хэшами.
Если отдельно говорить о применении c Powershell Powersploit,то стоит обратить внимание на следующее:
PowerSploit отлично выполняет и разведывательную функцию для поиска в Active Directory.
Это команда Get-NetGPOGroup ,перечисляющая все объекты групповой политики в домене и расширяет параметры ограниченных групп.
Так узнаётся где пользователям предоставлено членство в локальной группе через объекты групповой политики.
В итоге, получаем список всех пользователей, которым были предоставлены различные привилегии в домене.
Код:
PS C:\WINDOWS\system32> GET-NetGROGroupХорошо идёт и применение модулей Find-LocalAdminAccess (выводит список членов группы Администраторы)
Invoke-ShareFinder (выводит список общих папок)
Invoke-FileFinder (находит файлы)
Есть утилита PowerUpSQL , она применяется для атак на серверы SQL.
Её обычно совмещают с командой Invoke-SQLDumpInfo.
И в завершении ,наконец,можно применить ещё одну технику атаки-DCShadow.
Помогает её реализовать всё тот же Mimikatz и DCSync
Атака применяется на контроллер домена чтобы пробросить Mimikatz или Invoke-Mimikatz на нём.
И с помощью KRBTGT password hash заполучить Golden-тикет.
Здесь не требуется ни копирование файлов из Active Directory ,ни интерактивный вход в систему.
хэши паролей выводятся из контроллера домена прямо по сети.
Потребуются также данные какого-либо админа,т.к.у обычных пользователей права только на чтение и выгрузить пароли не выйдет.
Код:
mimikatz(commandline) # lsadump::dcsync /domain:Назв_домена /user:AdministratorДа,с DCSync надо быть внимательными,т.к. у неё имеется опция удаления данных паролей.
К тому же,её работа ещё и детектится при мониторинге сети.
Последнее редактирование:
Обучение наступательной кибербезопасности в игровой форме. Начать игру!