防范攻击者抓取明文密码和散列值

最新推荐文章于 2024-05-11 15:00:00 发布
最新推荐文章于 2024-05-11 15:00:00 发布
阅读量396 收藏
点赞数
分类专栏: 横向移动 文章标签: 内网渗透 渗透测试 横向移动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/118366839
版权

防范方法

设置AD2012R2功能级别

我们先把Administrator账户添加到Protected Users用户组中,然后在mimikatz上输入以下命令

privilege::debug
sekurlsa::logonpasswords

在这里插入图片描述
mimikatz并没有将用户的明文密码或散列值读出,由此看出Protected Users用户组的保护方式是有效的
在这里插入图片描述

安装KB2871997

KB2871997是微软用来解决PsExec或IPC命名管道问题的补丁,可以使得本地账号不再被允许远程接入计算机系统,但系统默认的本地管理员账号为500的用户例外。即使Administrator改名,攻击者仍然可以使用横向攻击方法获得内网中其他计算机的控制权。安装KB2871997后,配合禁用Administrator账号,以防御哈希传递攻击。

通过修改注册表禁止在内存存储明文密码

自XP以来,微软添加了一个名为WDigest的协议。该协议能够是Windows将明文密码存储在内存中,以方便用户登录本地计算机。

通过修改注册表的方式,即可解决内存中以明文存储密码的问题。在注册表添加一个键值,值为0

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

在这里插入图片描述
执行reg query命令,查询该键值是否添加成功

reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

在这里插入图片描述
注销后,再次使用mimikatz抓取密码,此时只能抓取到Administrator的NTLM Hash,并没有获得明文密码。因为NTLM Hash是很难被破解的,所以只要设置足够强壮的Windows密码,并养成定期修改密码的习惯,就可以降低系统被彻底攻陷的可能性。
在这里插入图片描述

防御mimikatz

根据Debug权限确定哪些用户可以将调试器附加到任何进程或内核中。默认情况下,此权限为本地管理员Administrator所有,除非系统进程,要不然本地管理员不需要使用此权限。

mimikatz在抓取散列值和明文密码是需要使用到Debug权限(和lsass进程进行交互)。因此我们可以针对这一点进行防御。将拥有Debug权限的管理员从管理员组中删除,重启系统后,mimikatz就不能抓到明文密码了。

平凡的学者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
防范明文密码散列抓取
weixin_41082546的博客
02-12 1208
一、单机密码抓取防范方法   微软为了防止用户密码内存中以明文形式泄露,发不了补丁KB2871997,关闭了Wdigest功能。windows server 2012以上版本默认关闭Wdigest,使攻击者无法从内存中获取明文密码。对于win server 2012以下版本,通过安装KB2871997补丁,可以避免攻击者获取明文密码。   通过查看注册表,可以判断Wdigest功能状态...
[EXP]修改WinS2012密码缓存在内存
BraveWinds B10G
04-14 1290
命令reg add hklm\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
黑客攻防应用:利用密码文件检测攻击
weixin_33796205的博客
10-18 122
本文讲的是 : 黑客攻防应用:利用密码文件检测攻击, 【IT168 编译】研究人员认为,通过添加大量假信息或“蜜码”到密码数据库,他们可以更好地检测攻击。当攻击者入侵企业网络时,他们的第一个目标通常都是密码文件。通过窃取密码文件,并使用暴力破解技术来破解低强度密码攻击者可以获取很多合法登录信息来更轻松地攻击企业网络。   美国麻省理工学院的I...
Windows密码破解常见手段
最新发布
2301_80127209的博客
05-11 824
得一提的是,这个项目能过windows defender 进行dump lsass内存,且只把相关的内容给dump下来,非常的香!申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。这也是github上面的项目,很热乎,刚提交不交,被我无意间发现了,这就是个宝藏。
如何解决APP抓包问题【网络安全】
瓦罗兰特顶级C位的博客
03-24 1990
目前市场上的APP都会为防止别人恶意盗取和恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。
从mimikatz抓取密码学习攻防
hongduilanjun的博客
07-21 1816
前不久在使用mimikatz抓取hash的时候遇到了报错,本着追根溯源的原则去查看了mimikatz抓取密码的原理。在学习的过程中发现了mimikatz的每种报错都有不同的原因,本文就从mimikatz的防御角度出发来分析如何防御mimikatz抓取密码。...
Windows密码散列抓取原理
04-07
由boywhp先生整理成文,简要分析了Pwdump和ophc等工具抓取windows密码散列的原理.阐述了散列抓取过程、关键函数、解密还原过程等重点代码片段,只要有一定编程基础的都可照此马上把工具写出来。
mimikatz 抓取 Windows 明文密码
06-02
Mimikatz - Windows 密码抓取神器 轻量级调试器神器 - mimikatz - 直接抓取 Windows 明文密码! 这个神器的功能肯定不仅仅如此 在我看来它更像一个轻量级调试器 可以提升进程权限 注入进程 读取
FTP连接与密码明文抓取的实验内容(win2003).pdf
07-10
FTP连接与密码明文抓取的实验内容(win2003).pdf 学习资料 复习资料 教学资源
mimikatz(windows 明文密码抓取工具)
04-02
windows 明文密码抓取工具,分别有32位和64位版本,在XP和win 7 旗舰版上测试成功
获取Windows明文密码mimikatz2.2-x64.rar
03-19
cmd下运行该程序 privilege::debug sekurlsa::logonpasswords
密码散列函数_密码散列的风险和挑战
culi4814的博客
08-17 1486
密码散列函数In a past article, password hashing was discussed as a way to securely store user credentials in an application. Security is always a very controversial topic, much alike politics and religion,...
内网渗透体系学习4
m0_55772907的博客
10-25 893
内网
mimikatz的原理,哪个补丁导致了mimikatz无法获取明文密码,如何绕过?
Ping_Pig的博客
11-10 3596
讲在前面: 对于mimikatz的原理本文只通过简单的话语表述,并在文章后给出分析的思路和参考文章。对于绕过补丁,本文只对KB2871997补丁做阐述,并且犹豫对mimikatz的介绍文章非常之多,所以本文只取重点罗列,让读者能够简单快速的明白关键点,深入理解在文章后给出分析思路和参考文章。 mimikazt的原理 注意:本文对mimikatz获取lsass.exe进程中明文密码的原理做简单描述。 开发语言:C/C++。 开发初衷:深入学习Windows系统以及C/C++语言。 获取明文密码
防止获取Windows密码
huike008的博客
06-27 191
受影响的系统 Windows 7和Windows Server 2008(老系统也受影响)。 最新的Windows 8 / 10 、Windows Server 2012 / 2016原本是不受影响的,但是高权限的黑客可以通过修改注册表来实现这样的攻击。 风险 黑客拥有系统管理员权限,就能从内存中获取登录认证信息(明文/各种哈希格式)。 描述 在Windows XP中,Microsoft...
windows 本地安全设置 灰色_window系统安全加固
weixin_39621488的博客
12-01 1576
windows 系统账号特性一般我们使用的普通的windows操作系统,对用户的密码是没有限制的,一般在家用版的windows中都会在一开始的时候给由你创建一个用户。而且对于家用的windows来说你的电脑不设置密码也是可以的。但是对于windows server来说,这是不行的。windows服务器对于账号和密码是有严格的要求的,而且windows服务器里面可能有很多的用户,因为每一...
身份鉴别与访问控制(NISP一级考试内容)
PICACHU+++的博客
02-17 5694
一、身份鉴别 1.标识与鉴别 标识是实体身份的一种计算机表达。信息系统在执行操作是,首先要求用户标识自己的身份,并提供证明自己身份的依据,不同的系统使用不同的方式表示实体的省份,同一个实体也可以有多个不同的 ...
Windows系统密码抓取与防护
qq_43590351的博客
09-10 1505
Windows系统密码抓取与防护 单机密码抓取防范 LM Hash 和NTLM Hash LM Hash(DES加密) 默认禁用,一般攻击者抓取的LM Hash为aad3b435b51404eeaad3b435b51404ee 表示LM Hash为空或被禁用 NTLM Hash(MD4加密) 真正是用户密码的哈希 Windows操作系统中的密码一般由两部分组成: 一部分为LM Hash,另一部分为NTLM Hash。在Windows中,Hash的结构通常如下: Username:RID:LM-Ha
使用L0phtCrack获取密码和使用mimikatz直接抓取Windows明文密码区别总结
03-22
而mimikatz则是一款密码抓取工具,它可以直接从Windows系统内存中获取明文密码。因此,L0phtCrack获取的密码可能需要一定的时间才能破解成功,而mimikatz则可以直接获取明文密码,速度更快。另外,使用L0phtCrack...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值