- Mimikatz
- Powershell脚本
- WCE
- Pwddump7
- Ophcrack
- Procdump+Mimikatz
- 注册表导出Hash
- LaZagne
- Meterpreter获取Hash
- Cobaltstrile获取Hash
Windows系统下hash密码格式:
用户名称:RID:LM-HASH值:NT-HASH值
记住后半段的NTLM
windows本地认证流程:
- 用户输入密码
- 系统收到密码后将用户输入的密码计算成NTLM Hash
- 与sam数据库(%SystemRoot%\system32\config\sam)中该用户的哈希比对
-sam sam.hiv -security security.hiv -system system.hiv - 匹配则登陆成功,不匹配则登陆失败
NTLM哈希,是一种单向哈希算法,Windows将用户的密码计算成NTLM哈希之后才存储在电脑中。
本地认证中用来处理用户输入密码的进程为lsass.exe,密码会在这个进程中明文保存,供该进程将密码计算成
NTLM Hash与sam进行比对,我们使用mimikatz来获取的明文密码,便是在这个进程中读取到的
1
mimikatz For Win10下载:
https://github.com/gentilkiwi/mimikatz/releases
本地非交互式凭证获取: