本文介绍了内网渗透中如何使用Mimikatz工具在线和离线读取Windows系统中lsass.exe和SAM文件,以获取用户密码和哈希值。通过讲解Mimikatz的命令行用法,如`sekurlsa::logonpasswords`和`lsadump::sam`,展示了获取本地和远程服务器凭据的方法,同时也提到了其他工具如Procdump和Invoke-NinjaCopy。
在内网渗透中,当测试人员获取某台机器的控制权后,会以被攻陷的主机为跳板进
行横向渗透,进一步扩大所掌控的资源范围。但是横向渗透中的很多攻击方法都需要先
获取到域内用户的密码或哈希值才能进行,如哈希传递攻击、票据传递攻击等。所以在
进行信息收集时,要尽可能收集域内用户的登录凭据等信息。
获取域内 单机密码和哈希值
在Windows中,SAM文件是Windows用户的账户数据库,位于系统的%SystemRoot%\System32\Config目录中,所有本地用户的用户名、密码哈希值等信息都存储在这个文件中。用户输入密码登录时,用户输入的明文密码被转换为哈希值,然后与SAM文件中的
哈希值对比,若相同,则认证成功。lsass.exe 是Windows 的一个系统进程,用于实现系统的安全机制,主要用于本地安全和登录策略。在通常情况下,用户输入密码登录后,登录的域名、用户名和登录凭据等信息会存储在lsass.exe 的进程空间中,用户的明文密码经过WDigest和Tspkg模块调用后,会对其使用可逆的算法进行加密并存储在内存中。
用来获取主机的用户密码和哈希值的工具有很多,这些工具大多是通过读取SAM文件或者访问lsass.exe 进程的内存数据等操作实现的。这些操作大多需要管理员权限,这意味着需要配合一些提权操作,后面的章节会对常见的提权思路进行讲解。
下面主要通过Mimikatz工具来演示几种获取用户凭据的方法,网络上流行的相关工
具还有很多,请读者自行查阅。
Mimikatz是一款功能强大的凭据转储开源程序,可以帮助测试人员提升进程权限、
注入进程、读取进程内存等,广泛用于内网渗透测试领域(具体见Github的相关网页)。
1.在线读取lsass进程内存
将mimikatz.exe.上传到目标主机
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
