使用 XCOPY 将文件复制到远程计算机时,您的凭据是否用于连接到该计算机的 LSASS 中缓存的远程计算机?
我试图避免在目标机器上留下任何易受 Mimikatz 攻击的凭据(如这里)。
编辑:错误的链接!该链接指向他们使用不同登录方法(WMIC、PSExec、本地管理员与域管理员、交互式等)进行的一些试验。有些方法缓存了凭据,有些没有。他们没有测试 XCOPY,所以我想知道是否有人尝试过或确定 XCOPY 是否专门缓存凭据。
AskOverflow.Dev
使用 XCOPY 将文件复制到远程计算机时,您的凭据是否用于连接到该计算机的 LSASS 中缓存的远程计算机?
我试图避免在目标机器上留下任何易受 Mimikatz 攻击的凭据(如这里)。
编辑:错误的链接!该链接指向他们使用不同登录方法(WMIC、PSExec、本地管理员与域管理员、交互式等)进行的一些试验。有些方法缓存了凭据,有些没有。他们没有测试 XCOPY,所以我想知道是否有人尝试过或确定 XCOPY 是否专门缓存凭据。
不,通过 SMB 进行的文件复制首先不会发送任何可缓存的信息 - SMB 使用的两种身份验证机制都是为仅发送临时证明而不是您的实际密码而构建的。(SMB 通常在 Active Directory 环境中使用 Kerberos,在其他情况下使用 NTLM。)
Kerberos 是一种基于票证的预共享秘密协议。使用 Kerberos,服务器只接收为该特定服务器颁发的票证,不能用于获取更多票证——您的密码和初始票证(TGT)都不会发送。(票证本身是离线验证的,通过使用服务器的“机器帐户”密码对其进行解密。)
NTLM 是一种质询-响应协议,其中服务器永远不会收到原始的“NT 密码哈希”,而只会收到一个使用特定于连接的随机数据再次进行哈希处理的版本。为了验证响应,服务器需要要么已经知道 NT 散列(在这种情况下缓存它是没有实际意义的),要么将其转发到知道的域控制器(在这种情况下,服务器永远不会学习 NT 散列)。
在这两种情况下,服务器只接收无用缓存的派生凭据。(LSASS 只缓存初始凭证——它的目的是在不实际暴露初始凭证的情况下派生这些临时凭证。Mimikatz 找到了强制提取它们的方法,但这不是正常操作。)
此外,服务器不需要您的密码来检查文件权限——它只需要知道您的用户 SID 和组成员身份,这将从 Kerberos 票证或通过查询 DC 获得。
RDP 和 WinRM 是不同的情况;它们是交互式访问协议,因此它们有意将您的初始凭据转发(委托)到远程计算机,尽管它是可选的并且可以通过 GPO控制。这是为了允许用户在连接到服务器时进一步访问文件共享和其他内容。
(此外,RDP 有很多遗留问题——尽管它现在可以通过 NLA 使用 Kerberos 或 NTLM,但较旧的非 NLA 模式只涉及将您的实际密码发送到服务器并确实模拟本地交互式登录,包括缓存等等。)