当使用 XCOPY 将文件复制到远程机器时,您的凭据是否用于连接到缓存在该机器的 LSASS 中的远程机器?
我试图避免在目标机器上留下任何容易受到 Mimikatz 攻击的凭据(如这里)。
编辑:错误链接!该链接指向了他们使用不同登录方法(WMIC、PSExec、本地管理员与域管理员、交互式等)进行的一些试验。有些方法缓存了凭据,有些则没有。他们没有测试 XCOPY,所以我想知道是否有人尝试过它或确定 XCOPY 是否专门缓存凭据。
不,通过 SMB 的文件复制首先不会发送任何可缓存的信息 - SMB 使用的两种身份验证机制都构建为仅发送临时证据,而不是您的实际密码。(SMB 通常在 Active Directory 环境中使用 Kerberos,在其他情况下使用 NTLM。)
Kerberos 是一种基于票证的预共享秘密协议。使用 Kerberos,服务器仅接收为该特定服务器颁发的票证,不能用于获取更多票证——您的密码和初始票证 (TGT) 都不会被发送。(票证本身是离线验证的,通过使用服务器的“机器帐户”密码对其进行解密。)
NTLM 是一种质询-响应协议,其中服务器永远不会收到原始的“NT 密码散列”,而只会收到一个使用特定连接的随机数据再次散列的版本。为了验证响应,服务器需要要么已经知道 NT 哈希(在这种情况下缓存它是没有意义的),要么将其转发到域控制器(在这种情况下服务器永远不会学习 NT 哈希)。
在这两种情况下,服务器只接收对缓存无用的派生凭据。(LSASS 只缓存初始凭证——它的目的是派生出这些临时凭证而不实际透露初始凭证。Mimikatz 找到了强制提取它们的方法,但这不是正常操作。)
此外,服务器不需要您的密码来检查文件权限——它只需要知道您的用户 SID 和组成员身份,它将从 Kerberos 票证或通过查询 DC 获得。
RDP 和 WinRM 是不同的情况;它们是交互式访问协议,因此它们故意有一种方法可以将您的初始凭据转发(委托)到远程计算机,尽管它是可选的并且可以通过 GPO 进行控制。这是为了允许用户在连接到服务器时进一步访问文件共享和其他内容。
(此外,RDP 有很多遗留问题——尽管现在它可以通过 NLA 使用 Kerberos 或 NTLM,但较旧的非 NLA 模式只涉及将您的实际密码发送到服务器,并确实模拟本地交互式登录、缓存等。)
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句