swordheart的博客

通过上述的实验可以看出，获取Linux的凭证，基本上是抓取其他正在运行的程序的实时内存，如果这些程序中的任何一个在内存中以明文或密码散列形式存储密码，则可以分别收集这些值以用于使用或破解，进而获取Linux的登录凭证。MimiPenguin和swap_digger这两个工具则偏向自动化攻击场景。

从以上实验可以看出，正常来说，LSA 允许应用程序以用户权限运行，但是我们可以使用 psexec 将 reg.exe 作为系统权限运行并转储 LSA 机密，通过psexec和mimikatz的token:: elevate可以提升系统的权限，转储LSA的机密信息。攻击者可能会使用密钥来协助提取密码和枚举其他敏感系统信息，通过psexec可以绕过火绒防护，轻松获取LSA的机密信息。

攻击者可能会尝试通过内存技术或通过存储 SAM 数据库的 Windows 注册表从安全帐户管理器 (SAM) 数据库中提取凭证材料。SAM 是一个数据库文件，其中包含主机的本地帐户，通常是使用**** 命令找到的帐户。枚举 SAM 数据库需要 SYSTEM 级别的访问权限。许多工具可用于通过内存技术检索 SAM 文件：或者，可以使用 Reg 从注册表中提取 SAM：然后可以使用 Creddump7 在本地处理 SAM 数据库以检索哈希值。可以通过三个注册表项枚举本地 SAM（SAM 和系统）、缓存凭证（系统

攻击者可能会尝试访问存储在本地安全机构子系统服务 (LSASS) 进程内存中的凭证材料。用户登录后，系统生成各种凭证材料，存储在LSASS进程内存中。这些凭证材料可以由管理用户或 SYSTEM 获取，并用于使用使用备用身份验证材料 进行横向移动 。与内存技术一样，LSASS 进程内存可以从目标主机转储并在本地系统上进行分析。例如，在目标主机上使用 procdump：在本地，可以使用以下方式运行 mimikatz：也可以使用内置的 Windows 工具，例如 comsvcs.dll：W

攻击者可能会获取和滥用默认帐户的凭据，以作为获得初始访问、持久性、特权升级或防御规避的手段。默认帐户是操作系统内置的帐户，例如 Windows 系统上的访客或管理员帐户。默认帐户还包括其他类型的系统、软件或设备上的默认工厂/供应商设置帐户，包括 AWS 中的根用户帐户和 Kubernetes 中的默认服务帐户。（引用：Microsoft 本地帐户 2019 年 2 月）（引用：AWS 根用户）（引用：Kubernetes 的威胁矩阵）默认账户不限于客户端机器，还包括为网络设备和计算机应用程序等设备预设的账户

在入侵受害者之前，攻击者可能会收集有关受害者主机硬件的信息，这些信息可以在目标定位期间使用。有关硬件基础设施的信息可能包括各种详细信息，例如特定主机上的类型和版本，以及是否存在可能指示附加防御保护措施的其他组件（例如：卡/生物识别器，专用加密硬件等）。攻击者可以通过各种方式收集此信息，例如通过主动扫描（例如：主机名，服务器旗标，用户代理字符串）、 钓鱼。攻击者还可能入侵站点，然后植入旨在收集访问者主机信息的恶意内容。有关硬件基础设施的信息也可能通过在线或其他可访问的数据集（例如：职位发布，网络地图，评估报告