
DonPAPI es un volcado DPAPI Credz Remote.
Volcado de DPAPI
Muchas credenciales están protegidas por DPAPI.
Nuestro objetivo es encontrar estas credenciales «seguras» y utilizarlas para:
- Contraseña de usuario
- Dominio DPAPI BackupKey
- Clave DPAPI del equipo local (protege
TaskScheduled
Gota)
Información que se está recopilando actualmente
- Credenciales de Windows (tareas, credenciales programadas y mucho más)
- Bóvedas de Windows
- Credenciales de Windows RDP
- AdConnect (todavía requiere operación manual)
- Botón WiFi
- Acceso a datos para Internet Explorer
- Cookies y credenciales de Chrome
- Cookies y credenciales de Firefox
- Contraseñas VNC
- Contraseña mRemoteNG (con configuración estándar)
Comprueba si hay algo de coincidencia
- Estado de la firma SMB
- Sistema operativo / dominio / nombre de host / IP del área auditada
Uso operacional
Con una cuenta de administrador local en un host, podemos:
- Recopile secretos DPAPI protegidos por máquinas
- ScheduledTask, que contiene el nombre de usuario / contraseña de texto sin cifrar de la cuenta configurada para realizar la tarea
- Contraseñas WiFi
- Extraiga el valor hash de Masterkey para cada perfil de usuario (las Masterkeys están protegidas por la contraseña del usuario, intentemos descifrarlas con Hashcat)
- Identifique quién está conectado desde dónde para identificar las PC del administrador.
- Extraiga otros secretos no protegidos por dpapi (VNC / Firefox / mRemoteNG)
- Recopile secretos protegidos de IE, Chrome, Firefox y llegue al inquilino de Azure.
Con una contraseña de usuario o el dominio PVK podemos desbloquear los secretos DPAPI del usuario.
Ejemplos de
Revele todos los secretos del equipo de destino con una cuenta de administrador:
DonPAPI.py dominio / usuario: passw0rd @ target
Usa el hash del usuario
DonPAPI.py – hashes: dominio / usuario @ objetivo
Utilice Kerberos (-k) y autenticación local (-local_auth)
DonPAPI.py -k dominio / usuario @ objetivo
DonPAPI.py -local_auth usuario @ objetivo
Utilice un usuario con derechos de lectura para la contraseña de LAPS
DonPAPI.py -laps domain / usuario: passw0rd @ target
También es posible proporcionar a la herramienta una lista de credenciales que probará en el objetivo. DonPAPI intentará usar esto para descifrar Masterkeys.
Este archivo de credenciales debe tener la siguiente sintaxis:
usuario1: pase1
usuario2: pase2
…
DonPAPI.py -credz credz_file.txt dominio / usuario: passw0rd @ target
Si hay un usuario administrador de dominio disponible, es posible impactar la clave de respaldo del dominio. para asegurar dpapi.py
Herramienta.
exportación de la clave de copia de seguridad dpapi.py
Esta clave de respaldo se puede usar para proteger los secretos de todos los usuarios del dominio.
python DonPAPI.py -pvk domain_backupkey.pvk dominio / usuario: passw0rd @ domain_network_list
El destino puede ser una IP, un rango de IP, un CIDR o un archivo que contiene la lista de destinos (uno por línea)
Consideración opsec
Algunos EDR pueden reconocer la parte RemoteOps. Puede desactivarse con --no_remoteops
Marcar, pero luego no se obtiene la clave DPAPI de la computadora y no se recopilan las credenciales de Tarea programada / contraseñas WiFi.
instalación
clon de git https://github.com/login-securite/DonPAPI.git
cd DonPAPI
python3 -m pip install -r Requirements.txt
python3 DonPAPI.py