Windows 10已經(jīng)發(fā)布了一段時(shí)間，目前節(jié)節(jié)攀升的裝機(jī)量與被越來越多企業(yè)采用的消息頻現(xiàn)，可謂是形勢一片大好。相關(guān)人士預(yù)計(jì)9月末Windows 10的裝機(jī)量將達(dá)到一億臺。我相信很多人過去幾周都在虛擬環(huán)境中體驗(yàn)著Windows 10系統(tǒng)。

而我的主要目的是為了研究系統(tǒng)升級對于我的標(biāo)準(zhǔn)工具有何影響。本文中，我將就Windows 10系統(tǒng)中hash以及明文密碼提取的一些發(fā)現(xiàn)進(jìn)行分享。

Windows 10：I WANT YOU

我們都知道windows密碼hash的價(jià)值，以及我們通過hash傳遞攻擊測試而獲得的無窮樂趣。如果你尚未意識到這一點(diǎn)，請?jiān)试S我強(qiáng)烈推薦你進(jìn)行一下嘗試。現(xiàn)在，我更喜歡無論在什么條件下只要能獲取到實(shí)際密碼，即使是hash也足夠了。

我把常用的一些工具在Windows 10中使用，看看效果究竟如何：

◆mimkatz 2.0
◆wce 1.42 beta
◆fgdump 2.10

所有測試均在Windows 10 Pro x64中執(zhí)行。

mimikatz 2.0 alpha x64 輸出

wce 1.42beta x64 輸出

fgdump 2.1.0 輸出

結(jié)果

◆mimkatz 2.0 我們可以抓取到hash，但沒有明文密碼。 ◆wce 1.42 beta 似乎沒有抓取到，無論是hash還是明文密碼。 ◆fgdump 2.10 果然抓取到hash。

一般來說，這樣的結(jié)果并不是太糟糕。有hash之后，我們同樣可以破解它，然后用來進(jìn)行hash傳遞攻擊測試……但是，沒有直接抓取到明文密碼？不要這樣吧！

#p#

遇見神器RWMC

我決定在網(wǎng)上閑逛一下，又去咨詢了一些朋友看是否有什么有趣的工具能夠拿到Windows 10中的明文密碼。于是，我發(fā)現(xiàn)了由Pierre-Alexandre Braeken創(chuàng)造的、被稱為“PowerMemory”的一組工具。其中最令人興奮的是一個(gè)被稱為“Reveal Windows Memory Credentials”（RWMC）的Powershell腳本。

我從github中找到了RWMC，然后在我的測試虛擬機(jī)上運(yùn)行。

注釋：你必須先執(zhí)行Powershell的“Set-ExecutionPolicy Unrestricted-force”，才能執(zhí)行腳本。

下面這張截圖演示了如何使用RWMC從一臺本地Windows 10 Pro x64的機(jī)器抓取明文密碼，盡管這里并不該與其他Windows操作系統(tǒng)有所不同。

運(yùn)行RWMC

有趣的是，該工具建議建立一個(gè)注冊表密碼然后重啟。我看了一下腳本，有如下發(fā)現(xiàn)：

在這里，我們看到一個(gè)用于為WDigest提供者明文存儲憑證的注冊表，被設(shè)置為1。我沒有對這個(gè)Windows 10 Pro中的設(shè)置進(jìn)行任何破壞，因此在Windows 10中UseLogonCredential必須默認(rèn)設(shè)置為0。跟進(jìn)這個(gè)問題后發(fā)現(xiàn)似乎至少回到Win 8.1情況都是如此。

讓我們在修改過注冊表并重啟之后，再次嘗試一下RWMC。

情況有所好轉(zhuǎn)，我們獲得的結(jié)果如圖所示：

太棒了！完全可以運(yùn)行，甚至可以說任務(wù)完成得非常出色！RWMC還有其他許多功能，例如遠(yuǎn)程抓取密碼以及找回dump密碼。更多信息可以從這里獲得。

如果注冊表設(shè)置無法啟用，我就不得不進(jìn)行重啟。這相當(dāng)不方便，但是我還沒能在我有限的測試中找到一種有效的方法解決這一問題。

但是現(xiàn)在注冊表設(shè)置可以啟用，讓我們再次開啟mimikatz來看看會發(fā)生什么：

現(xiàn)在我們終于得到了我們想要的。Mimikatz現(xiàn)在抓取hash不存在任何問題。而有趣的是，WCE在我的測試中仍然失敗。

結(jié)果終于（或多或少）正常了：

◆mimikatz UseLogonCredentials列表設(shè)置可用。
◆RWMC UseLogonCredentials列表設(shè)置可用。
◆WCE 在我的快速檢測中，似乎并沒有什么用。
◆fgdump 如預(yù)期，注冊表并不需要調(diào)整，但又不與WDigest進(jìn)行交互。

有趣的是Windows Defender（微軟自帶防護(hù)軟件）確實(shí)就這些工具的執(zhí)行進(jìn)行了“抱怨”，但是并沒有阻止它們的運(yùn)行。

編者注：從相關(guān)研究人員處獲悉，本文中作者操作的失當(dāng)導(dǎo)致了圖片中顯示的“WCE執(zhí)行后說服務(wù)安裝失敗”。WCE提示錯(cuò)誤是因?yàn)槠錂?quán)限不夠，作者應(yīng)該用system權(quán)限執(zhí)行WCE。因此，結(jié)果可能會有所不同。