为避免文章过长,这里就不贴出详细测试过程了。经过我的测试,发现本地用户hash抓取的方法中,以下几种方式是可行的:
注册表导出+cain
Pwdump7.exe
QuarksPwDump.exe
mimikatz.exe
这几种方式都可以抓到本地用户hash,其中mimikatz.exe只能抓到登陆过的账户的hash值,
已经抓取不到明文的密码了,但是,有一些有意思的东西,直接上图:
仔细看图,可以发现,wdigest的内容为n.a. ,也就是没有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。
但是,重点是!!!LM hash被抓出来了,而且完全是正确的!!!
当密码长度小于等于14位,只要有lm hash基本上都是秒破,我见过很多管理员的密码根本没有14位长。从vista开始就已经不保存lm hash了,但是没想到2012里还能抓到lm……
然后wce.exe gethashes.exe gsecdump.exe抓取本地用户hash都失败了,其中wce更让人无语
执行后会导致服务器直接重启
不过我倒是顺带发现psexec启用system权限的方法对于2012还是适用的
域用户hash抓取测试
在虚拟机中搭建好域,域控制器就是这台windows server 2012,另外再加入一台windows server 2003的成员机器作为测试。
域中添加AdminUser, User1用户,其中AdminUser是域管理员,再加上本地用户Administrator在安装域时会自动添加成域管理员,所以总共是3个有效用户,2个域管理员。
首先测试在2003的成员机器上登陆域用户时的情况