Hekatomb — сбор и расшифровка DPAPI-данных в Active Directory

Active Directory

Hekatomb — это Python-скрипт, который подключается к LDAP-директории для получения информации обо всех компьютерах и пользователях домена. После этого он скачивает все DPAPI-блобы для всех пользователей со всех компьютеров. В завершение, через RPC он извлекает приватный ключ контроллера домена и использует его для расшифровки всех учетных данных.

Еще по теме: Постэксплуатация в Active Directory

Расшифровка DPAPI-блобов в домене Windows

На Windows учетные данные, сохраненные в менеджере учетных данных, шифруются с использованием Microsoft Data Protection API (DPAPI) и хранятся в виде файлов «blob» в папке AppData пользователя. Вне доменной среды для шифрования этих блобов используется хеш пароля пользователя. Однако, если компьютер находится в среде Active Directory, DPAPI использует публичный ключ контроллера домена для шифрования этих данных.

С извлеченным приватным ключом контроллера домена становится возможным расшифровать все блобы и, таким образом, восстановить все секреты, записанные в менеджере учетных данных Windows на всех рабочих станциях домена.

Hekatomb расшифровка DPAPI Active Directory

Hekatomb автоматизирует процесс поиска этих блобов, а затем их расшифровку для получения всех секретов пользователей домена.

Установка Hekatomb

Его добавили в с последний релиз Kali Linux. Ниже инструкция по установке на другие дистрибутивы Linux.

Для систем на базе Debian, через Pypi:

Для пользователей BlackArch:

Установка из GitHub:

Использование Hekatomb

Hekatomb использует синтаксис, похожий на Impacket (см. Как использовать скрипты в Impacket).

Пример вызова скрипта:

Основные параметры запуска:

Настройки вывода и отладки:

Пример использования Hekatomb:

Если вы не укажете файл с резервными ключами домена, скрипт автоматически попытается получить их через RPC.

Hekatomb упрощает процесс сбора и расшифровки данных DPAPI, что позволяет получить доступ ко всем учетным данным пользователей домена через менеджер учетных данных Windows.

ПОЛЕЗНЫЕ ССЫЛКИ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий