iT邦幫忙

2025 iThome 鐵人賽

DAY 13
0
Security

Hack the Boyfriend: 為了 CTF 帥哥,我貢獻了我的肝臟系列 第 13

有時候,只是想找個依賴 - Part 3

  • 分享至 

  • xImage
  •  

今天參加 HITCON,深刻感受到大家的熱忱,偶像依舊帥氣如常。
帶著這份感動,我會繼續努力成為理想中的自己,所以現在投入鐵人賽第 13 天 XD

前天的節錄 - 1

有時候我覺得自己很像在跑 lazagne.exe all,
試著從生活的各個角落搜尋線索—
瀏覽器儲存的帳密、RDP 的 saved credential、甚至登錄檔裡偷偷躺著的 DefaultPassword。
可那一串字母和符號再漂亮,也不會告訴我它能不能陪我。

lazagne.exe

當我們試過方法都失敗時,可以試試看 LaZagne 工具,嘗試從各式各樣的軟體中提取憑證。

可用的環境包含:

  • 網頁瀏覽器
  • 資料庫
  • 電子郵件
  • 系統管理工具
  • 內部的密碼儲存機制(例如 Autologon、Credman 等)

LaZagne 可以:

  • 執行所有模組
  • 執行特定模組(例如 databases)
  • 或針對單一軟體(例如 OpenVPN)
  • 輸出結果可存成純文字檔或 JSON 格式

簡單步驟:先把程式下載下來

  1. 從此處下載 exe: https://github.com/AlessandroZ/LaZagne/releases/

  2. 在目標系統上執行 LaZagne,使用 all 參數以掃描所有支援的模組:

LaZagne.exe all

若出現 Password Found 之類的字眼就是找到了!

https://ithelp.ithome.com.tw/upload/images/20250816/2010719747u12mV2U7.png


前天的節錄 - 2

我期望能得到你的認同,但可惜現實沒有 -m 13400 這種模式,也沒有 SessionGopher 幫我列出誰願意打開心門給我登入。

搜尋 & 解密遠端存取工具的儲存登入資訊 - SessionGopher

我們可以使用 SessionGopher 來提取 PuTTY、WinSCP、FileZilla、SuperPuTTY 和 RDP 儲存的憑證。

這個工具是以 PowerShell 撰寫的,用來搜尋並解密遠端存取工具的儲存登入資訊。

執行地點:

它可以在本地或遠端執行~

SessionGopher 的原理:

  1. 搜尋 HKEY_USERS hive 中所有曾登入過網域(或獨立主機)的使用者。

  2. 找出並解密任何能發現的已儲存工作階段資訊。

  3. 能用來搜尋磁碟上的檔案,例如:PuTTY 私鑰檔(.ppk)、遠端桌面檔案(.rdp)、RSA 憑證檔(.sdtid)

補充:HKEY_USERS hive

https://ithelp.ithome.com.tw/upload/images/20250816/20107197szWTWfuwRG.png
來源:https://learn.microsoft.com/zh-tw/troubleshoot/windows-server/performance/windows-registry-advanced-users

1. 每個使用者的註冊表都會存到 HKEY_USERS

  • 當一個使用者登入 Windows 時,他的「使用者設定檔(NTUSER.DAT)」會被載入到 HKEY_USERS<SID> 裡。
  • SID(Security Identifier)就是使用者的身分 ID。
  • 所以 HKEY_USERS 會包含「這台機器上所有曾登入過的使用者」的資料。

2. 遠端連線工具的設定會存進去

  • PuTTY、WinSCP、RDP 之類的遠端工具,如果你有「儲存工作階段 / 記住密碼」,這些資訊常常就會放在使用者自己的註冊表區域裡。
  • 例如:
    • HKEY_USERS<SID>\Software\SimonTatham\PuTTY\Sessions
    • HKEY_USERS<SID>\Software\Martin Prikryl\WinSCP 2\Sessions

3. 網域或獨立主機都會留痕跡

  • 不管這台是加入網域的電腦,還是單機(standalone),只要有人登入過,Windows 都會在 HKEY_USERS 建立一份對應的設定。
  • 這就是為什麼工具會去搜尋 HKEY_USERS → 因為那裡可能藏著所有曾經用過這台電腦的人的遠端連線憑證。

p.s. HKEY_USERS 的痕跡 預設不會自動清除,除非使用者帳號被刪掉或有人特意清理。

備註: HKCU & HKU

  • HKCU (HKEY_CURRENT_USERS) = HKU<目前登入者的 SID>(只是個捷徑 alias)
  • HKU (HKEY_USERS)= 所有曾經登入過的使用者設定集合

以目前使用者執行 SessionGopher

若要取得 HKEY_USERS 下所有使用者的儲存會話資訊,需要有本機管理員權限。
不過,我們可以先試試用「目前使用者」身份執行,看看能不能找到有用的憑證。

範例:執行 SessionGopher

PS C:\lab> Import-Module .\SessionGopher.ps1
PS C:\Tools> Invoke-SessionGopher -Target <TEST-SRV01>

SessionGopher.ps1 這個 PowerShell 腳本載入到記憶體,讓我們可以用裡面的函式。

執行 Invoke-SessionGopher 這個函式,指定目標電腦 <TEST-SRV01>,會去檢查那台機器上目前使用者的註冊表,看看有沒有存過 PuTTY / WinSCP / RDP 這類遠端工具的連線帳密 ~

如果有,還會幫忙把密碼解出來XD

如:

WinSCP Sessions
Source   : TEST-SRV01\ctf-lab
Session  : Default Settings
Hostname : transfer.inlanefreight.local
Username : root
Password : Summer2020!

小語

# 在 HITCON 的會場裡,
# 看到一群眼睛會發光的人~
# 他們為了技術熬夜、為了解題拍桌,
# 那股熱忱讓我也忍不住跟著燃燒!
# 當然,偶像也很帥啦 XD

上一篇
有時候,只是想找個依賴 - Part 2
下一篇
社群排毒 - 回歸自己的日子
系列文
Hack the Boyfriend: 為了 CTF 帥哥,我貢獻了我的肝臟26
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言