• XSS.stack #1 – первый литературный журнал от юзеров форума

Немножко помочь+объяснить. 20$

Отслеживать

kikimoraziza

floppy-диск
Пользователь
Регистрация
18.10.2024
Сообщения
6
Реакции
3
Депозит
0.0005
Мяу, Приветствую! Пробовал задавать вопрос в разделе по вирусне, но ответа так не получил. У меня имеются как мне кажется все необходимые файлы для расшифровки мастер ключа DPAPI, которым в последующем расшифровывается ключ хрома, а именно файлы SAM и SYSTEM, папочка Protect находящаяся по пути %appdata%\Microsoft\Protect, со всеми ее вложенными файлами.

С помощью mimikatz команды "lsadump::sam /system:SYSTEM /sam:SAM" вытянул NTLM хеши пользователей:


Domain : КАКОЙТОДОМЕН

SysKey : ***********

Local SID : ***********


SAMKey : ***********


RID : 000001f4 (500)

User : Администратор


RID : 000001f5 (501)

User : Гость


RID : 000001f7 (503)

User : DefaultAccount


RID : 000001f8 (504)

User : WDAGUtilityAccount

Hash NTLM: ***********


Supplemental Credentials:

* Primary:NTLM-Strong-NTOWF *

Random Value : ***********


* Packages *

NTLM-Strong-NTOWF


* Primary:Kerberos-Newer-Keys *

Default Salt : WDAGUtilityAccount

Default Iterations : 4096

Credentials

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********

rc4_hmac_nt (4096) : ***********

ServiceCredentials

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********


RID : 000003e9 (1001)

User : ИМЯЮЗЕРА

Hash NTLM: ***********


Supplemental Credentials:

* Primary:NTLM-Strong-NTOWF *

Random Value : ***********


* Packages *

NTLM-Strong-NTOWF


* Primary:Kerberos-Newer-Keys *

Default Salt : КАКОЙТОДОМЕН+ИМЯЮЗЕРА

Default Iterations : 4096

Credentials

des_cbc_md5_nt (4096) : ***********

unknow (4096) : ***********

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********

rc4_hmac_nt (4096) : ***********

ServiceCredentials

des_cbc_md5_nt (4096) : ***********

unknow (4096) : ***********

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********

OldCredentials

des_cbc_md5_nt (4096) : ***********

unknow (4096) : ***********

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********

rc4_hmac_nt (4096) : ***********



RID : 000003ea (1002)

User : WsiAccount

Hash NTLM: ***********


Supplemental Credentials:

* Primary:NTLM-Strong-NTOWF *

Random Value : ***********


* Packages *

NTLM-Strong-NTOWF


* Primary:Kerberos-Newer-Keys *

Default Salt : ***********

Default Iterations : 4096

Credentials

des_cbc_md5_nt (4096) : ***********

unknow (4096) : ***********

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********

rc4_hmac_nt (4096) : ***********

ServiceCredentials

des_cbc_md5_nt (4096) : ***********

unknow (4096) : ***********

aes256_hmac (4096) : ***********

aes128_hmac (4096) : ***********


Сбрутил я хеш пользователя RID : 000003e9 (1001), далее с помощью команды dpapi::masterkey /in:ПУТЬДОМАСТЕРКЛЮЧА /password:ПАРОЛЬЮЗЕРА /sid:SIDЮЗЕРА попробовал расшифровать мастер ключ, но ничего не вышло. Ошибка такая же, какая при неверном пароле. Но я уверен, что пароль верный. Много раз сверял, что этот пароль на выходе дает этот хеш. К слову по пути %appdata%\Microsoft\Protect\SID находится всего один мастер ключ с которым я и пытался работать.


Задача: Расшифровать мастер-ключ

В чем может быть проблема? Может в случае с данной машиной все расшифровывается немного сложнее? Что за WsiAccount и о чем он может говорить?


Буду сильно благодарен, если кто нибудь ответит на мои скромные вопросы и поможет мне <3
Возможно я также готов предоставить чуть больше информации, если потребуется.
А качестве благодарности обязуюсь заплатить копеечку 20$ в случае, если ответ будет дельный и поможет расшифровать мастер-ключ.
Все обсуждения в ЛС форума. В случае если найдется кто может помочь, сделаю микро деп на форум для гарантии вашей.
 
50$. Прошу помощи. До сих пор разбираюсь с этим вопросом. Похоже, машина находится в рабочем домене. Более подробную инфу могу скинуть в лс. У таргета много txt файлов с почтовыми адресами, номерами карт, именами, CVV и доступами к сервисам аренды номеров. Возможно, это кардер. Можем рассмотреть вариант совместной отработки, если знаете, как это реализовать.
 
Сравнил метаданные МК таргета с МК тестовой виртуалки Windows 11 и заметил непонятное для меня различие в количестве раундов.

Таргет:
--------------------------------------------------------------------------------------------

#### MasterKeyFile 9270ac7c-****-****-****-187b0b07c5ac ####

version = 2

Policy = 0x5

MasterKey = 176

BackupKey = 144

CredHist = 20

+ Master Key: Masterkey block

cipher algo = AES-256 [0x6610]

hash algo = sha512 [0x800e]

rounds = 1

IV = ********************************

ciphertext = ************************************************************************************************************************************************************************************************************************************************************************************************

+ Backup Key: Masterkey block

cipher algo = AES-256 [0x6610]

hash algo = sha512 [0x800e]

rounds = 8000

IV = ********************************

ciphertext = ********************************************************************************************************************************************************************************************************************************

+ CredHist block

version = 3

guid = 0-66b2-f96f-00-000000

--------------------------------------------------------------------------------------------

Тестовый:
--------------------------------------------------------------------------------------------

#### MasterKeyFile 8383f7e9-****-****-****-67671bc534bc ####

version = 2

Policy = 0x5

MasterKey = 176

BackupKey = 144

CredHist = 20

+ Master Key: Masterkey block

cipher algo = AES-256 [0x6610]

hash algo = sha512 [0x800e]

rounds = 8000

IV = ********************************

ciphertext = ************************************************************************************************************************************************************************************************************************************************************************************************

+ Backup Key: Masterkey block

cipher algo = AES-256 [0x6610]

hash algo = sha512 [0x800e]

rounds = 8000

IV = ********************************

ciphertext = ********************************************************************************************************************************************************************************************************************************

+ CredHist block

version = 3

guid = 52e61d8b-****-****-****-d28e2d80a32c

--------------------------------------------------------------------------------------------

По какой-то причине в проблемном ключе используется только 1 раунд (хотя обычно всегда 8000), что скорее всего и не позволяет расшифровать мастер-ключ популярными инструментами, такими как Mimikatz, dpapilab-ng и т.п.

В попытке найти инфу, я нашел такую картинку
round.png


Но я уверен, что мастер-ключ был получен с системы, либо Windows 10, либо Windows 11, и алгоритмы шифрования и хеширования не совпадают. То есть, по идее, должно быть 8000 раундов.

Кто-нибудь знает, из-за чего там только 1 раунд, и каким образом в данном случае можно расшифровать мастер-ключ? А еще, что за необычный GUID в виде 0-66b2-f96f-00-000000?
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх