Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.
Учетные записи сетевых служб
Windows сохраняет пароли в обратимом виде не только в секретах LSA, но и в других местах.Когда вы заходите на сетевой ресурс, например, общую папку, прокси-сервер с NTLM-аутентификацией, СУБД, почтовый сервер и.т.п, то часто вы можете сохранить свой пароль, просто поставив галочку в поле “Запомнить пароль”.
На самом деле в таких случаях Windows сохраняет имена пользователей и пароли в диспетчере учетных данных (Credential Manager). Хранение учетных данных позволяет Windows использовать технологию единого доступа (SSO), введенную еще в Windows XP. Благодаря SSO, каждый раз, когда пользователю необходимо аутентифицироваться на сетевом ресурсе, ему не нужно заново вводить свои учетные данные.
Пароли в диспетчере учетных данных шифруются с помощью подсистемы DPAPI, и их можно получить в незашифрованном виде .
В диспетчере учетных данных вы можете также просматривать, редактировать и добавлять информацию . На системах Windows Vista и выше диспетчер доступен в Control Panel\User Accounts and Family Safety\Credential Manager или Control Panel\User Accounts and Family Safety\User Accounts \\Manage your credentials (Панель управления\Учетные записи пользователей\Администрирование учетных записей).
Для схожих целей в Windows существует Защищенное хранилище (Protected Storage). Приложения типа Internet Explorer и Outluook Express сохраняют в защищенном хранилище пароли от почтовых учетных записей; почтовые пароли шифруются с помощью CryptoAPI, причем ключ шифрования генерируется из пользовательского пароля, следовательно, почтовые пароли также можно получить в незашифрованном виде .
Сторонние программы (Chrome, RealVNC Client, Thunderbird и др.) сохраняют пароли от web-сайтов разными способами: некоторые в реестре, другие с помощью Windows API сохраняют их в диспетчере учетных записей или в защищенном хранилище, третьи хранят пароли в файлах. Но в независимости от того, какой именно способ используется программой, пароли хранятся в обратимом виде, и, значит, у нас есть возможность получить незашифрованные пароли от сайтов.
Получение информации из диспетчера учетных записей
Способы взаимодействия с диспетчером учетных данных документированы Microsoft и применены в некоторых утилитах, позволяющих слить информацию из диспетчера.Также может успешно слить информацию из диспетчера учетных данных. Единственная проблема заключается в том, что утилита работает только локально, и поэтому, если на целевой системе прав устанавливать программное обеспечение у вас нет, лучше утилиту не использовать.
Не следует использовать пост-эксплойт модуль windows/gather/credentials/enum_cred_store из фреймворка Metasploit, так как модуль всегда завершается аварийно, вне зависимости от версии Windows.
Получение информации из защищенного хранилища
Первое место отдаю (pspv) от NirSoft. Утилита работает стабильно и представляет собой самостоятельный EXE-файл.А вот утилита в данном случае неэффективна, ее использовать не советую.
Получение учетных данных из сторонних программ
NirSoft предлагает широкий выбор утилит для получения учетных данных из стороннего программного обеспечения. Многие из этих утилит объединены в самостоятельный EXE-файл, carrot.Также если удалось запустить Meterpreter на целевой системе, то вам очень пригодятся фреймворк Metasploit: во фреймворке есть несколько пост-эксплойт модулей, специально для таких целей. Некоторые из модулей работают стабильно, а другие пока бета-версии и часто завершаются аварийно.
К каким угрозам ведет получение учетных записей сетевых служб
Во время анализа внутренней инфраструктуры сети вам, скорее всего, сначала удастся захватить простую рабочую станцию, а не сервер.Важный шаг на пути к компрометации всей сети – это получение информации о том, какую роль играет именно захваченная вами машина. Если рабочая станция используется ежедневно, то высоки шансы, что пользователь этой рабочей станции имеет доступ к корпоративной почте, внутренним web-сайтам, корпоративному прокси-серверу и другим службам. И, что еще более вероятно, пользователь везде, где можно выбрал “Запомнить пароль”.
“Бесплатный” доступ к таким корпоративным сервисам даже с правами низкопривилегированного пользователя на самом деле бесценен. Автоматический ввод учетных данных поможет вам расширить контроль в сети, а также показать заказчику, что к защите даже самой незначительной, удаленной от демилитаризованной зоны рабочей станции нужно подходить с особой внимательностью.
Очень часто пользователи для доступа к почте, общим папкам и другим сетевым ресурсам используют одни и те же пароли (иногда даже пароль совпадает с паролем учетной записи доменного пользователя), поэтому получение учетных записей сетевых служб имеет огромное значение во время теста на проникновение.
Описанные в этой статье утилиты я добавил в таблицу . Буду рад вашим отзывам и предложениям!
Хранилище WindowsВ верхней части окна расположен значок Хранилища Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле «хранилище» - это просто более удобоваримое название папки «Credentials». На компьютерах, подключенных к домену, она расположена по адресу «C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft » (в англоязычной версии - «C:\Users\Имя_пользователя\AppData\Roaming\Microsoft »).
На компьютерах в пиринговой сети адрес другой - «C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft » ((в англоязычной версии - «C:\Users\Имя_пользователя\AppData\Local\Microsoft »). Файлы в этой папке, естественно, зашифрованы.
Архивация и восстановление Хранилища Windows Vault
Под значком Хранилища Windows расположены две ссылки: «Архивация хранилища» (Back Up Vault) и «Восстановление хранилища» (Restore Vault). Архивация не только позволяет иметь резервную копию на случай удаления или повреждения хранилища, но и облегчает перенос учетных данных с одного компьютера на другой.
Ссылка «Архивация хранилища» запускает мастер архивирования, состоящий из нескольких этапов (рис. D), включая доступ к безопасному рабочему столу (Secure Desktop) через ++ для создания пароля к резервной копии хранилища. Это необходимо даже в том случае, если безопасный рабочий стол обычно отключен.
Рисунок D. Во время архивации нужно получить доступ к безопасному рабочему столу и задать пароль к резервной копии хранилища.
Во время восстановления хранилища из резервной копии (рис. E) тоже нужен доступ к безопасному рабочему столу для ввода пароля.
Рисунок E. Чтобы восстановить хранилище из резервной копии, нужно получить доступ к безопасному рабочему столу и ввести пароль.
Типы учетных данных
В Диспетчере учетных данных все данные сгруппированы по трем категориям: «Учетные данные Windows» (Windows Credentials), «Учетные данные на основе сертификатов» (Certificate-Based Credentials) и «Общие учетные данные» (Generic Credentials).
Учетные данные Windows - это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу.
Учетные данные на основе сертификатов предназначены для смарт-карт и других устройств такого рода.
Общие учетные данные используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Стоит учитывать, что Диспетчер учетных данных отвечает далеко не за все данные, используемые для входа на веб-сайты. Большинство учетных данных в Internet Explorer, например, обрабатывается с помощью функции автозаполнения (AutoComplete).
Диспетчер учетных данных в Windows 7
Диспетчер учетных данных, или Credential Manager - это механизм, который позволяет управлять регистрационными данными пользователей (логин и пароль) для доступа к сетевым ресурсам, а также сертификатами и учетными данными для различных приложений (электронной почты, веб-сервисов и т. п.).
Например, мы хотим получить доступ к папке, находящейся на другом компьютере, и удаленный компьютер запрашивает наши учетные данные. Вводим логин, пароль и отмечаем галочкой пункт «Запомнить учетные данные».
Или, при подключении к удаленному рабочему столу разрешаем сохранение учетных данных, чтобы не вводить их каждый раз.
Все сохраненные таким образом учетные данные попадают в так называемое Хранилище Windows (Windows Vault), в котором по умолчанию хранятся все учетные данные. На самом деле, хранилище - это просто более понятное название папки Credentials. Для доменных пользователей эта папка находится по адресу: C:\Пользователи\Имя_пользователя\AppData\Roaming\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Roaming\Microsoft), для локальных - C:\Пользователи\Имя_пользователя\AppData\Local\Microsoft (в англ. версии C:\Users\Имя_пользователя\AppData\Local\Microsoft). Все файлы в этой папке, естесственно, зашифрованы, и доступ к ним осуществляется как раз с помощью Диспетчера учетных данных.
Открыть его можно через Панель управления, или просто набрав в строке поиска Диспетчер учетных данных (Credentials Manager для англоязычной версии).
Вот так выглядит Диспетчер учетных данных. Все данные в нем сгруппированы по трем категориям:
Учетные данные Windows
(Windows Credentials) - это имена и пароли, которые используются для доступа к общим сетевым папкам, веб-сайтам, применяющим интегрированную аутентификацию Windows (Windows Integrated Authentication), а также при подключении к удаленному рабочему столу;
Учетные данные на основе сертификатов
(Certificate-Based Credentials) - предназначены для аутентификации с помощью смарт-карт;
Общие учетные данные
(Generic Credentials) - используются сторонними приложениями, для которых требуется отдельная авторизация с учетными данными, отличными от тех, что применяются для входа в систему. В этом разделе могут храниться практически любые учетные данные, соответствующие стандартам Microsoft.
Все учетные данные можно развернуть и подробно посмотреть, а при желании и отредактировать.
Учетные данные можно не только сохранять в процессе подключения, но и вводить прямо в диспетчере. Для этого надо выбрать раздел и нажать на ссылку «Добавить учетные данные». В качестве примера добавим учетные данные для подключения к закрытому веб-сайту http://contoso.com в раздел «Общие учетные данные».
Теперь данные сохранены в хранилище, и при подключении к данному ресурсу не потребуется их вводить.
Строго говоря, с веб-сайтами история отдельная. Диспетчер учетных данных отвечает далеко не за все данные, используемые для для доступа к интернет-ресурсам. Большинство этих данных обрабатываются и хранятся в самом браузере. В Internet Explorer, например, есть для этого специальная функция автозаполнения (AutoComplete).
Этот недостаток попытались исправить в Windows 8, где в Диспетчере учетных данных есть отдельный раздел под названием «Учетные данные для Интернета». И если вы укажете сохранить, к примеру пароль от Яндекс-почты, то он будет сохранен именно здесь. Однако работает эта возможность только с Internet Explorer, остальные браузеры ей не пользуются и по прежнему хранят все данные у себя.
Архивирование и восстановление
Прямо под значком «Хранилище Windows» расположены две ссылки: «Архивирование хранилища» и «Восстановление хранилища». Таким образом учетные данные можно забекапить на случай удаления или повреждения хранилища, или перенести с одного компьютера на другой.
Архивирование данных осуществляется специальным мастером. Процедура несложная - указываем, куда сохранить архив (рекомендуется на съемный носитель), затем задаем пароль для доступа к нему. Пароль задается обязательно с использованием безопасного рабочего стола (Secure Desktop). Это необходимо даже в том случае, если безопасный рабочий стол отключен.
Восстановление проходит по схожему сценарию - указываем месторасположение архива и вводим пароль, также на Secure Desktop.
Диспетчер учетных данных особенно удобен при отсутствии домена, когда все разрешения на сетевые ресурсы прописываются локально. В этом случае архив учетных данных можно использовать для автоматизации процесса раздачи прав. Впрочем, диспетчером учетных данных можно пользоваться и в домене, для доступа к внешним ресурсам. В общем вещь полезная, специальной настройки не требует, данные сохраняет. Правда иногда отдельные учетные данные могут неожиданно пропадать, так что архив все же стоит делать.
