T1555 凭据管理

攻击者可能会搜索常见的密码存储位置以获取用户凭据。密码存储在系统上的多个位置，具体取决于持有凭据的操作系统或应用程序。还有一些特定的应用程序可以存储密码，以方便用户管理和维护。获得凭据后，它们可用于执行横向移动和访问受限信息。这里我简单整理了Windows系统中平台下五种流行密码管理器的底层工作原理并进行了安全性的研究，如Windows凭证管理工具cmdkey、KeePass、1Password 7、Dashlane、和LastPass等等。其次，浏览器对于操作系统而言也可以算得上是一种第三方工具，其文件也有着具体的存储路径，接下来我们就这些凭据的存储位置以及利用方法进行简单额分析。

Windows常用密码存储位置

Windows系统下的各种凭据都有其存储位置，常见的凭据包括浏览器密码、sam系统密码、服务器密码、远程密码、VPN密码等等。这些密码凭据再磁盘中往往以加密的形式保存在文件中，也有部分凭据保存在注册表内等等，而这些密码文件的存储位置也不尽相同，下面简单列出了常见凭据的存储路径。

浏览器

1. Ie浏览器

Internet Explorer 4-6版本：

HKEY_CURRENT_USER\Software\Microsoft\Protected Storage System Provider

Internet Explorer 7-8版本：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\IntelliForms\Storage2

另外HTTP身份验证,密码都是存储在证书文件里：

Documents and Settings\Application Data\Microsoft\Credentials

2. firefox

该密码存储的文件名称：signons.txt，signons2.txt和signons3.txt，这些密码文件所在内的Firefox配置文件夹：

[Windows Profile]\Application Data\Mozilla\Firefox\Profiles\[Profile Name]

此外，key3.db在同一文件夹中，用于加密/解密。

3. google

密码存储在[Windows Profile]\Local Settings\Application Data\Google\Chrome\User Data\Default\Web Data路径下。

4. Opera

密码文件wand.dat位于:[Windows Profile]\Application Data\Opera\Opera\profile.

sam系统密码

Windows系统密码保存在SAM文件中，这个文件保存在：

C：/windows/System32/config

服务器密码

Outlook Express邮件服务器：

HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\[Profile Name]\9375CFF0413111d3B88A00104B2A6676\[Account Index]

使用Outlook连接到Exchange服务器的帐户时，连同局域网的计算机登录密码密码将存储在证书文件里.

远程密码

Windows Network Passwords：

[Windows Profile]\Application Data\Microsoft\Credentials\[User SID]\Credentials

[Windows Profile]\Local Settings\Application Data\Microsoft\Credentials\[UserS ID]\Credentials

拨号/VPN 密码

存储在注册表中：

HKEY_LOCAL_MACHINE\Security\Policy\Secrets

其中包含下列字符串：RasDefaultCredentials和RasDialParams

常用第三方工具利用

密码管理器允许存储和检索加密数据库中的敏感信息。攻击者可能会从第三方密码管理器获取用户凭据。密码管理器是旨在存储用户凭据的应用程序，通常在加密数据库中。这些存储密码的数据库可以作为文件存储在磁盘上。

Windows凭证管理工具cmdkey凭据窃取

Cmdkey是一个内置的Windows工具，可以用来缓存在特定目标机器上使用的域用户凭证。其允许我们以普通域用户的身份来显示和创建凭证，并且它通常用于在远程系统上执行管理任务看上去。利用过程就是mimkatz解密其加密文件在上个文档中提到。

利用KeeFarce工具注入KeePass进程窃取密码

KeePass Password Safe 是一个免费的开源密码管理器，主要用于 Windows。另外该工具也支持 macOS 和 Linux 操作系统。此外，还有几个用于Android、iOS、BlackBerry 的非官方端口，KeePass 将用户名、密码和其他字段（包括自由格式的注释和文件附件）存储在加密文件中。该文件可以通过主密码、密钥文件和当前 Windows 帐户详细信息的任意组合进行保护。默认情况下，KeePass 数据库存储在本地文件系统上。

KeeFarce允许从内存中提取KeePass 2.x密码数据库信息。数据库内明文信息包括用户名，密码，备注和URL，其进程执行注入程序后会被转储到%AppData%/roaming目录下中的CSV文件中。

该工具使用DLL注入在正在运行的KeePass进程的上下文中执行代码。通过首先注入适合体系结构的引导DLL来实现代码执行。这会在适当的应用程序域内生成一个运行的实例，随后执行KeeFarceDLL.dll。执行该dll文件时会使用CLRMD在KeePass进程堆中查找必要的对象，查找指向某些必需子对象的指针，并使用反射调用导出方法。该工具主要模块由一下几个文件组成，并且为了在目标主机上执行，这些文件需要位于同一个文件夹中：

当keepass密码管理工具运行过程中创建一个keepass.exe进程，这时我们运行该工具的exe文件就可以实现dll文件的自动化注入，该工具首先会检索keepass进程的进程id，而后再向该进程id对应的进程内存中注入代码执行。

注入成功之后，其获取到的明文凭据会以csv文件的形式储到%AppData%目录下的roaming文件夹，当我们再次进行代码注入执行时其抓取内容依然会保存在第一次创建的csv文件中。

检测方式

该过程向进程中注入执行代码，会出现进程访问的行为，也会在keepass进程内存创建一个远程线程会被sysmon 8 号日志记录，其次其创建的csv文件过程也会被sysmon 11 号日志记录。同时我们通过sysmon 7 号日志记录监测注入过程中keepass.exe与keeFarce.exe进程的加载映像，发现KeePass密码管理器加载了KeeFarce工具注入的dll文件。

KeeFarce工具抓取Keepass密码攻击复现及其行为监测相关推荐

1. 使用Wireshark抓包工具抓取直播源

   介绍Wireshark Wireshark是一款世界范围最广.最好用的网络封包分析软件,功能强大,界面友好直观,操作起来非常方便.它的创始人是Gerald Combs,前身是Ethereal,作为开源 ...

2. 读文读报1——上线提权抓取明文密码

   文章目录 总结 读文读报 "Shodan插件探测到81端口" "杀软探测,查看是否存在AV" "目标出网,直接powershell上线" & ...

3. 挖藕！模拟sql抓取qq密码

   挖藕!模拟sql查看qq密码 模拟抓取到的qq数据 通过封装实现数据库的连接 1. 创建配置文件(包含驱动,url 密码,用户名) 2. 实现封装工具类(涉及类加载机制复习) 3. 利用封装工具类实现 ...

4. [网络安全自学篇] 五十.虚拟机基础之安装XP系统、文件共享、网络快照设置及Wireshark抓取BBS密码

   这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步.前文分享了Procmon软件基本用法及文件进程.注册表查看,这是一款微软推荐的系 ...

5. java使用htmlunit工具抓取js中加载的数据

   htmlunit 是一款开源的java 页面分析工具,读取页面后,可以有效的使用htmlunit分析页面上的内容.项目可以模拟浏览器运行,被誉为java浏览器的开源实现.这个没有界面的浏览器,运行速度 ...

6. 使用wireshark抓取账号密码

   运行wireshark,选取当前电脑使用的网络,我是用学校WiFi,所以选取WiFi. 进入抓包页面,这时wireshark就已经开始抓取电脑上的数据包了. 我们登录一个网站,我选择的是桂林生活网ht ...

7. HTML开发者工具抓取所有图片,利用Chrome开发者工具功能进行网页整页截图的方法...

   说起要截取整个网站页面,很多朋友第一时间想到的都是用哪款chrome扩展,确实,我们网站之前也有介绍过一些截图插件比如: 但其实现在不少浏览器都自带截屏功能了.尤其是像chrome如此强大的浏览器,比 ...

8. Bus Hound 工具抓取串口数据（PC端抓取USB转串口数据）

   测试环境: PC端 USB转串口 链接终端板卡串口 目标:抓取通信过程中的通信数据 工具介绍: Bus Hound是是由美国perisoft公司研制的一款超级软件总线协议分析器,它是一种专用于PC机各 ...

9. 使用轻量级JAVA 爬虫Gecco工具抓取新闻DEMO

   写在前面 最近看到Gecoo爬虫工具,感觉比较简单好用,所有写个DEMO测试一下,抓取网站 http://zj.zjol.com.cn/home.html,主要抓取新闻的标题和发布时间做为抓取测试对象 ...

最新文章

1. 剑指offer系列之六十：序列化二叉树
2. 程序的跟踪debug
3. 移动端向服务端提交数据——实现简单登录
4. 让UpdatePanel支持文件上传（4）：数据传输与解析机制
5. 两个3*3*n旋转矩阵在第三维相乘
6. 活动目录系列之十二：活动目录的修复（下）
7. Java数据脱敏框架
8. 2021-2025年中国IT业的利好机遇
9. 计算机的硬盘容量可以调,怎么查看电脑硬盘容量_怎么查看电脑内存大小
10. Python+Flask(2)--通过flask paginate解决列表分页问题
11. 《酒干倘卖无》歌曲什么意思，看了《搭错车》感人电影就知道了
12. java段子_Java程序员的内涵段子
13. Mybatis【面试题】
14. 修改MAC密码 Navicat每次打开都要输入密码
15. Kubernetes单机创建MySQL+Tomcat演示程序：《Kubernetes权威指南》第一章demo报错踩坑
16. 目前互联网比较赚钱的项目
17. 启英泰伦cl1122模块学习笔记
18. 【Dash搭建可视化网站】项目4： 利用Dash Plotly实现数据图表可视化
19. P16-Windows与网络基础-本地安全策略
20. ubuntu 17linux输入法,Ubuntu17.04 安装搜狗中文输入法的方法

热门文章

1. leetcode 916
2. 波产生衍射的原因是什么
3. 题目：洛谷1088 火星人（排列组合问题）
4. 终于知道 Java agent 怎么重写字节码了
5. vant中 tab栏遇到的坑 van-tabs。
6. 基于Linux_ARM板的驱动烧写及连接、挂载详细过程(附带驱动程序)
7. 地铁供电系统原理图_地铁工作原理？
8. Docker curriculum (3): 多容器环境
9. APP榜单查询,哪里可以查到iOS应用榜单数据
10. 输入roscore报错：“roscore“ not found