如何使用serviceFu这款功能强大的远程收集服务帐户凭据工具

serviceFu

在近期所进行的安全审计活动中,我们的团队设计出了一种新的安全工具,并希望能跟整个社区一起分享。

当时在进行安全审计开始前,我们首先需要尝试获取到客户网络系统的初始访问权。这位特殊的客户之前曾投入过大量的人力和物力资源来提升企业网络系统的安全性。在客户域名系统中的大多数客户都需要进行智能卡认证,并且禁用了凭证缓存(Mimikatz的sekurlsa::logonPasswords无效),而且还设置了基于主机的日志记录系统(Powershell, Sysmon, HIPS)。

在进行了仔细分析之后,我们把注意力放在了一台更有“价值”的服务器上。这台服务器之所以“有价值”,是因为拥有高等级权限的网络管理员需要使用这台服务器来执行管理员任务。我们成功在这台服务器上发现了一个0 day漏洞,并且通过手动编码的形式设计出了漏洞利用代码,最终成功拿到了SYSTEM权限。

有了SYSTEM权限之后,我们就能够伪装成一些经常会登录目标系统的用户了,比如说通过注入用户进程或直接窃取他们的用户令牌。虽然这种技术可以有效实现提权和横向渗透,但是它要求我们能寻找到活动会话才能实现身份伪装。因此,这个过程可能需要我们等待用户登录才能实现提权,当他们注销账号之后,我们就无法使用他们的账号了。所以,这种技术只能用来寻找那些使用账号凭证登录的用户信息,而无法适用于采用智能卡认证的情况。

不过幸运的是,客户的活动目录在安装和配置时使用的是多个高等级权限的服务账号,而且涉及到域中的多台服务器。这些域服务账号使用了账号凭证来实现登录认证。Windows会在注册表HKLM:\Security\Policy\Secrets中为每一个服务的域服务账号服务账号存储一个加密后的凭证在lsadump::secrets module(Mimikatz)的帮助下,我们能够直接解密这些凭证。

接下来,我们的主要问题就变成了如何找出目标域服务账号下运行了那些服务组件:我们是对每一个系统手动运行mimikatz,还是在收集到系统信息和注册表键内容后在线下执行分析?虽然这并不是一个技术难点,但是我们很懒,能自动化完成的我们肯定不会手动进行。下面的截图显示的是mimikatz导出的每一个服务账号的凭证信息:

假设我们的工具运行在一台登录了管理员权限账号的目标主机上,我们将能够利用Win32 API来远程查询目标主机中运行的服务。我们可以通过解析服务启动名称来判断当前运行环境是否为系统级账号。如果确定了运行环境,我们就可以使用远程注册表API来存储系统信息和注册表信息了。接下来,在拿到相关注册表键之后,我们可以使用mimikatz来对其进行解析和解密,并获取到服务账号凭证。需要注意的是,我们之所以采用C++来开发这款工具,主要也是考虑到之后可以轻松将其以模块的形式整合进原生的C2框架之中。

不过我们得承认,这款工具只适用于这种特定情况,在其他特殊情况下该工具可能无法完成你所要求的任务。但不管怎样,它都能够帮助你远程扫描出整个目标域中域服务凭证的明文文本信息,这一点还是非常有用的。如果你对本项目感兴趣的话,欢迎到我们的GitHub上留言或提交代码。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-10-31

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏FreeBuf

你所不知道的渗透测试:应用虚拟化的攻防

Web渗透测试大家都耳熟能详,但是针对应用虚拟化的渗透测试或许大家比较少接触,而且网上也没有相关的资料。作为前沿攻防团队,本期技术专题将结合过往的项目经验,针对...

2638
来自专栏后端技术探索

纯干货--秒杀系统架构分析与实战

(1)查询商品;(2)创建订单;(3)扣减库存;(4)更新订单;(5)付款;(6)卖家发货

3064
来自专栏EAWorld

API管理的正确姿势--API Gateway

数字化生态,以创新客户体验为核心,所有我们身边能感知到的变化都来自于渐近的创新。这些创新需要试错,需要不断的升级,并且创新往往与我们熟知的功能分离开来分别呈现。...

3442
来自专栏安恒信息

Intel管理引擎存在多个高危漏洞预警

安全通告 Intel® 管理引擎 (Intel® ME 11.0.0-11.7.0), Intel® 可信执行引擎(Intel® TXE 3.0), 以及Int...

3235
来自专栏微服务

基于STS和JWT的微服务身份认证

自 Martin Fowler 提出微服务架构的概念后,这个名词就一直比较流行,总是成为众多技术论坛和公众号的讨论热点。很多互联网和软件公司都在将原有的整体架构...

3865
来自专栏bboysoul

种子下载工具cloud-torrent搭建和使用

最近在下几个种子,原本是放在电脑上下载的,但是你知道的,我的电脑不可能24小时在线的,而且作为一个有强迫症的人,你能忍受你玩电脑的时候后台总有一个下载工具在运行...

7193
来自专栏FreeBuf

设计缺陷将导致亚马逊Echo变身成为监听设备

MWR的安全研究专家发现亚马逊Echo存在一个物理攻击漏洞,该漏洞将允许攻击者获得设备的root shell(设备底层为Linux操作系统),然后安装恶意软件,...

37715
来自专栏服务端技术杂谈

重构系统的套路-微服务化

根据业务或组织架构进行基本服务拆分,每个服务实例会拥有专属的网络地址、独立的计算资源,并且独立部署。客户端通过访问服务实例的地址来调用服务 API。不同服务也可...

1254
来自专栏ImportSource

微服务应具备的12个属性

该文翻译自Pivotal公司的 Matt Stine大牛的书籍《Migrating to Cloud Native Application Architectu...

2839

云开发API连接器的最佳练习

Amazon Web Services,Microsoft Azure,Google Compute Engine等云服务提供商以及OpenStack,vClo...

2538

扫码关注云+社区

领取腾讯云代金券