还是使用低权限sessin来测试
hashdump必须要system权限,就算administrator权限也不行
hashdump
以system权限hashdump就可以
方法二,以system权限获取hash值
smarthashdump,比hashdump好用太多,可以根据权限和操作系统来自动选择最适合的方式dump hash
run post/windows/gather/smart_hashdump
以下信息保存在/root/.msf4/loot/20201220082524_default_192.168.100.71_windows.hashes_710728.txt文件里
以低权限运行失败,可能是UAC拦截了
低权限dump hash失败,莫得内容
那么现在试试绕过UAC的普通sessin来执行下,看到可以用hashdump
用绕过UAC的普通sessin执行smart_hashdump失败
用绕过UAC的system的session,执行成功
在线破解hash值
hash值分为2段,一段是LM值,一段是NTLM值
这里我选的是LM值
离线破解hash值
-h是指定hash
-f是可以把多个hash放到文件里,多个破解
-g是用谷歌找hash
指定类型
开始破解
说是离线,其实也是在网上的一些资源去破解
如果实在破解不出来,可以使用hash传递
使用一个hash传递模块
yes的地方都要设置,no的地方可设置可不设置
这里我设置了一下smbuser为root用户和smbpass的hash值
设置一下payload
但是执行报错,说是UAC拦截,
那么我们可以用注册表关闭它。
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Policies/System
UAC开启的时候是1,关闭的时候是0
选着一个system的session,
cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f
再来看目标机的值就变为0了
一些参数
远程关了UAC后要重启目标机才行,
然后重连session,因为关闭了UAC,我们可以直接普通session直接getsystem
然后
然后直接是靶机的ip
而且直接是system权限
也可以配合来破解hash值
会自动把hash值保存在tmp目录下
然后自动去读取之前hashdump保存在tmp下的hash值,
然后就破解出来了