Windows 10已經(jīng)發(fā)布了一段時間，目前節(jié)節(jié)攀升的裝機量與被越來越多企業(yè)采用的消息頻現(xiàn)，可謂是形勢一片大好。相關(guān)人士預計9月末Win 10的裝機量將達到一億臺。我相信很多人過去幾周都在虛擬環(huán)境中體驗著Win 10系統(tǒng)。

而我的主要目的是為了研究系統(tǒng)升級對于我的標準工具有何影響。本文中，我將就Win 10系統(tǒng)中hash以及明文密碼提取的一些發(fā)現(xiàn)進行分享。

Win 10：I WANT YOU

我們都知道windows密碼hash的價值，以及我們通過hash傳遞攻擊測試而獲得的無窮樂趣。如果你尚未意識到這一點，請允許我強烈推薦你進行一下嘗試。現(xiàn)在，我更喜歡無論在什么條件下只要能獲取到實際密碼，即使是hash也足夠了。

我把常用的一些工具在Win 10中使用，看看效果究竟如何：

·mimkatz 2.0

·wce 1.42 beta

·fgdump 2.10

所有測試均在Win 10 Pro x64中執(zhí)行。

mimikatz 2.0 alpha x64 輸出

wce 1.42beta x64 輸出

fgdump 2.1.0 輸出

結(jié)果

·mimkatz 2.0

我們可以抓取到hash，但沒有明文密碼

·wce 1.42 beta

似乎沒有抓取到，無論是hash還是明文密碼

·fgdump 2.10

果然抓取到hash

一般來說，這樣的結(jié)果并不是太糟糕。有hash之后，我們同樣可以破解它然后用來進行hash傳遞攻擊測試……但是，沒有直接抓取到明文密碼?不要這樣吧!

遇見神器RWMC

我決定在網(wǎng)上閑逛一下，又去咨詢了一些朋友看是否有什么有趣的工具能夠拿到Win 10中的明文密碼。于是，我發(fā)現(xiàn)了由Pierre-Alexandre Braeken創(chuàng)造的、被稱為“PowerMemory”的一組工具。其中最令人興奮的是一個被稱為“Reveal Windows Memory Credentials”(RWMC)的Powershell腳本。

我從github中找到了RWMC，然后在我的測試虛擬機上運行。

注釋：你必須先執(zhí)行Powershell的“Set-ExecutionPolicy Unrestricted-force”，才能執(zhí)行腳本。

下面這張截圖演示了如何使用RWMC從一臺本地Windows 10 Pro x64的機器抓取明文密碼，盡管這里并不該與其他Windows操作系統(tǒng)有所不同。

運行RWMC

有趣的是，該工具建議建立一個注冊表密碼然后重啟。我看了一下腳本，有如下發(fā)現(xiàn)：

在這里我們看到一個用于為WDigest提供者明文存儲憑證的注冊表，被設(shè)置為1。我沒有在這個Win 10 Pro中的設(shè)置進行任何破壞，因此在Windows 10中UseLogonCredential必須默認設(shè)置為0。跟進這個問題后發(fā)現(xiàn)似乎至少回到Win 8.1情況都是如此。

讓我們在修改過注冊表并重啟之后，再次嘗試一下RWMC。

情況有所好轉(zhuǎn)，我們獲得的結(jié)果如圖所示：

太棒了!完全可以運行，甚至可以說任務(wù)完成得非常出色!RWMC還有其他許多功能，例如遠程抓取密碼以及找回dump密碼。更多信息可以從這里獲得。

如果注冊表設(shè)置無法啟用，我就不得不進行重啟。這相當不方便，但是我還沒能在我有限的測試中找到一種有效的方法解決這一問題。

但是現(xiàn)在注冊表設(shè)置可以啟用，讓我們再次開啟mimikatz來看看會發(fā)生什么：

現(xiàn)在我們終于得到了我們想要的。Mimikatz現(xiàn)在抓取hash不存在任何問題。而有趣的是，WCE在我的測試中仍然失敗。

結(jié)果終于(或多或少)正常了：

·mimikatz

UseLogonCredentials列表設(shè)置可用

·RWMC

UseLogonCredentials列表設(shè)置可用

·WCE

在我的快速檢測中，似乎并沒有什么用

·fgdump

如預期，注冊表并不需要調(diào)整，但又不與WDigest進行交互

有趣的是Windows Defender(微軟自帶防護軟件)確實就這些工具的執(zhí)行進行了“抱怨”，但是并沒有阻止它們的運行。

編者注：

從相關(guān)研究人員處獲悉，本文中作者操作的失當導致了圖片中顯示的“WCE執(zhí)行后說服務(wù)安裝失敗”。WCE提示錯誤是因為其權(quán)限不夠，作者應(yīng)該用system權(quán)限執(zhí)行WCE。因此，結(jié)果可能會有所不同。