?HiveJack是一款專用于內(nèi)部滲透測(cè)試過程中的Windows憑證導(dǎo)出工具伐弹,在該工具的幫助下岔留,廣大安全研究人員不僅可以輕松地從一臺(tái)已成功入侵的設(shè)備中獲取到SYSTEM帅韧、SECURITY和SAM注冊(cè)表內(nèi)容,而且還可以在導(dǎo)出這些Windows憑證之后刪除目標(biāo)文件并清理入侵痕跡。
一般來說智末,這種操作屬于一種重復(fù)性的過程汁尺,一旦攻擊者獲取到目標(biāo)主機(jī)的系統(tǒng)級(jí)訪問權(quán)限之后法精,下一個(gè)步驟就是導(dǎo)出關(guān)鍵的注冊(cè)表鍵值。在進(jìn)行內(nèi)部滲透測(cè)試的過程中痴突,時(shí)間往往是非常寶貴的搂蜓。那么在你導(dǎo)出和刪除目標(biāo)文件時(shí),HiveJack將為你節(jié)省下來大量的時(shí)間辽装,而且HiveJack還將幫助你自動(dòng)化完成這些操作帮碰。
導(dǎo)出目標(biāo)主機(jī)中?C:\temp\?目錄中的文件內(nèi)容:
點(diǎn)擊“Delete Hives”按鈕后,文件將會(huì)從受感染主機(jī)中成功刪除:
一個(gè)Hive時(shí)注冊(cè)表中鍵拾积、子鍵殉挽、和值的邏輯組合,當(dāng)目標(biāo)操作系統(tǒng)啟動(dòng)或用戶進(jìn)行登錄操作時(shí)拓巧,便會(huì)將相關(guān)一系列支持文件加載進(jìn)內(nèi)存中斯碌。
注冊(cè)表文件一般擁有以下兩種格式:
1、標(biāo)準(zhǔn)格式:支持從Windows 2000到當(dāng)前最新版本的Windows系統(tǒng)肛度,并且擁有向下兼容性输拇。
2、最新格式:支持從Windows XP開始的Windows系統(tǒng)贤斜。
除了?HKEY_CURRENT_USER?策吠、?HKEY_LOCAL_MACHINE\SAM?逛裤、?HKEY_LOCAL_MACHINE\Security?以及?HKEY_USERS.DEFAULT?之外,其他所有的Hive使用的都是最新格式猴抹。
在一次內(nèi)部滲透測(cè)試過程中带族,攻擊者通常需要通過橫向滲透活動(dòng)來從一臺(tái)主機(jī)轉(zhuǎn)移到另一臺(tái)主機(jī)中,此時(shí)通常就需要用到賬號(hào)憑證了蟀给。在HiveJack的幫助下蝙砌,攻擊者將能夠通過系統(tǒng)Hive來收集并導(dǎo)出憑證信息。
一般來說跋理,當(dāng)攻擊者成功從目標(biāo)主機(jī)中收集到本地管理員或系統(tǒng)權(quán)限之后择克,那么HiveJack就可以發(fā)揮作用了,而導(dǎo)出目標(biāo)系統(tǒng)Hive也就意味著攻擊者將能夠獲取到系統(tǒng)用戶的密碼哈希前普。
在使用該工具的同時(shí)肚邢,你還可以使用類似?secretsdump?之類的工具來進(jìn)行導(dǎo)出輔助:
獲取到密碼哈希之后,攻擊者將能夠進(jìn)行各種其他的攻擊行為拭卿,比如說通過密碼破解或密碼傳遞來在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中實(shí)現(xiàn)橫向滲透骡湖。
當(dāng)Hive成功拷貝到攻擊者的設(shè)備上之后,該工具還能夠并幫助我們從temp文件中刪除文件以防止敏感文件泄露峻厚,并清除攻擊痕跡响蕴。
注意事項(xiàng)
一般來說,我們都會(huì)檢查?C:\Windows\repair\?路徑來獲取SAM和SYSTEM文件以避免被EDR解決方案所檢測(cè)到惠桃。但是浦夷,這個(gè)目錄中包含了原始?C:\Windows\System32\config\?文件的已過期副本,因此它可能無法正確映射出當(dāng)前用戶的賬號(hào)憑證辜王。不過劈狐,通過它們來破解密碼或已知的密碼格式,仍然是非常有用的誓禁。
源碼獲取
廣大研究人員可以使用下列命令將該項(xiàng)目源碼克隆至本地:
gitclone https://github.com/Viralmaniar/HiveJack.git
工具使用
方法一:從該項(xiàng)目GitHub庫(kù)的?Release頁面?直接下載?HiveJack.exe?懈息,然后在目標(biāo)主機(jī)中直接運(yùn)行,獲取到的Hive內(nèi)容將存儲(chǔ)在目標(biāo)主機(jī)的?c:\temp\?目錄下摹恰。
方法二:使用Visual Studio打開項(xiàng)目源碼辫继,并根據(jù)情況構(gòu)建源碼俗慈。
注意:在導(dǎo)出注冊(cè)表Hive之前姑宽,請(qǐng)確保目標(biāo)主機(jī)的“?C:?”驅(qū)動(dòng)器下存在?temp?目錄。
