Windows系统散列值获取分析

最新推荐文章于 2023-06-22 13:48:17 发布
最新推荐文章于 2023-06-22 13:48:17 发布
阅读量945 收藏 1
点赞数
分类专栏: 横向移动 文章标签: 内网渗透 渗透测试 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45007073/article/details/118182866
版权

系统散列值获取分析

LM Hash和NTLM Hash

Windows操作系统使用两种方法对用户的明文密码进行加密处理。在域环境中,用户信息存储在ntds.dit中,加密后为散列值。

操作系统的密码一般分为两部分,一部分是LM Hash,另一部分是NTLM Hash。Hash的结构如下username:RID:LM-HASH:NT-HASH

LM Hash的全名是LM Manager Hash,是为了提高Windows操作系统的安全性,它的本质是DES加密,但是在Windows2008之后,LM Hash就被禁用了,原因是它的密码不足14字节将用0补全,极易被破解。如果LM Hash被禁用了,那么工具抓取到的hash通常为aad3b435b51404eeaad3b435b51404ee

NTLM Hash为了提高安全性设计的一种新的散列加密算法,它基于MD4加密算法进行加密,现在大多数Windows操作系统都是使用NTLM Hash认证方式。

单机密码抓取与防范

要想在Windows操作系统中抓取散列值或明文密码,就必须将权限提升为system。有关散列值的相关信息全都保存在SAM文件中,lsass.exe进程用于实现Windows的安全策略。可以使用mimikatz将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出。

SAM文件的保存位置是C:\Windows\System32\config,该文件是被锁定的,不允许复制。我们可以在关闭操作系统之后,使用PE盘进入文件管理环境,直接复制SAM文件,也可以使用VSS等方法进行复制。

Getpass

在这里插入图片描述
在这里插入图片描述

PwDump7

在命令行环境中运行PwDump这个工具,可以得到系统中所有账户的NTLM Hash,我们可以使用彩虹表来破解散列值。如无法破解,我们也可以使用哈希传递进行横向移动。
在这里插入图片描述

QuarksPwDump

我们输入QuarksPwDump.exe --dump-hash-local获取本地用户的对应哈希值
在这里插入图片描述
我们输入QuarksPwDump.exe --dump-hash-domain-cached来获取域用户对应的hash值
在这里插入图片描述

导出SAM和System文件

通过reg的save选项将注册表中的SAM、System文件导出到本地磁盘

reg save hklm\sam C:\Users\pyh\Desktop\sam.hive
reg save hklm\system C:\Users\pyh\Desktop\system.hive

在这里插入图片描述

读取SAM和System文件获得NTLM Hash

使用mimikatz读取SAM和System文件

该工具可以从内存中提取明文密码、散列值、PIN和kerberos票据。它也可以执行哈希传递、票据传递或者构建黄金白银票据。

我们输入lsadump::sam /sam:../../sam.hive /system:../../system.hive
在这里插入图片描述

使用Cain读取SAM文件

安装Cain我们需要关闭防火墙,不然会运行失败。我们运行Cain,然后进入Cracker模块,选中LM&NTLM选项,点击加号选项,选择Import Hashes From a SAM databse选项。将我们本地的sam文件导入,点击Next选项。导入后显示系统中存在的三个账号的LM HashNTLM Hash信息。
在这里插入图片描述

使用mimikatz直接读取本地SAM文件,导出Hash信息

在进行渗透测试时,需要考虑mimikatz在目标机器上的免杀特性。我们首先运行mimikatz,输入privilege::debug提升权限,然后输入token::elevate将权限提升至system
在这里插入图片描述
输入lsadump::sam,读取本地SAM文件,获得NTLM Hash
在这里插入图片描述

使用mimikatz在线读取SAM文件

我们输入如下命令mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords",在线读取散列值及明文密码
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

使用mimikatz离线读取lsass.dmp文件

我们先找到lsass.exe进程,然后右击选择创建转储文件,此时在本地的Temp目录下生成了一个lsass.DMP文件
在这里插入图片描述
除此之外,我们还可以使用微软的Procdump工具导出lsass.dmp文件。因为这个软件不会被杀软报毒,因此操作起来相当方便。对应的命令为Procdump.exe -accepteula -ma lsass.exe lsass.dmp
在这里插入图片描述
在这里插入图片描述

使用powershell对散列值进行Dump操作

我们使用的是NishangGet-PassHashes.ps1脚本进行哈希值的导出。执行的前提是必须以管理员权限打开powershell命令行

powershell.exe -exec bypass "Import-Module .\Get-PassHashes.ps1;Get-PassHashes"

在这里插入图片描述

单机密码抓取的防范方法

微软为了防止用户密码在内存中以明文的形式被抓取,发布了补丁KB2871997,并且关闭了Wdigest功能。

在日常网络维护中,通过查看注册表项Wdigest可以判断Wdigest功能状态。如果值为1,用户下次登录时,攻击者就能使用工具获取明文密码。应该确保该值为0

使用reg add命令

开启Wdigest

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

在这里插入图片描述
关闭Wdigest

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

在这里插入图片描述

使用powershell

开启WDigest

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 1

在这里插入图片描述
关闭WDigest

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest -Name UseLogonCredential -Type DWORD -Value 0

在这里插入图片描述

平凡的学者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sam文件获取与解密
Shanfenglan's blog
08-21 29万+
前言 ntds.dit文件位置: C:\Windows\NTDS\NTDS.dit system文件位置:C:\Windows\System32\config\SYSTEM sam文件位置:C:\Windows\System32\config\SAM #通过SAM数据库获得用户hash的方法 远程读取 mimikatz在线读取SAM数据库 privilege::debug token::elevate lsadump::sam powershell 利用empire里面的一个powershell
pwdump7(提取出系统中的用户的密码hash工具)
04-11
Pwdump7可以在CMD下提取出系统中的用户的密码hash (包括LM和NTLM)
域渗透-域控维权
m0_58596609的博客
11-19 2050
域渗透-域控维权
提取LSA密码lsadump
weixin_33856370的博客
12-12 445
2019独角兽企业重金招聘Python工程师标准>>> ...
使用Pwdump7提取系统密码hash
热门推荐
tonghua6的专栏
04-20 2万+
 首先,下载“Pwdump7.rar”这个文件,并将其解压到D盘根目录下。 接着,打开“命令提示符”窗口并输入“PwDump7”命令,在按下回车键后即可看到如图所示的结果。 图 命令执行结果 这里的“PASSWORD”后面是一串星号,这表示当前帐户没有设置密码。当我们为Administrator帐户设置 一个密码后,再次运行“PwDump7”命令时,就会得到如下内容: Ad
获取Windows系统密码凭证 (゚益゚メ) 渗透测试
寻觅的博客
03-04 3400
文章目录Windows 加密简介Windows 哈希过程Windows 凭证获取使用猕猴桃(mimikatz) Windows 加密简介 在Windows系统中,通常会使用哈希(hash)转化我们存入的密码,哈希是将目标文本转换成具有相同长度的,不可逆的字符串,具体到应用层还有很多不同的分支,Windows早期版本大多使用LAN Manager(LM)方法进行哈希,但LM哈希密码最大长度为14,当前Windows主要采用NT LAN Manager(NTLM)方法哈希。 Windows系统下hash密码格式
SHA-1.rar_SHA_sha-1散列
09-24
安全散列算法SHA1,主要用于数字签名。输入数据的最大长度为2^64,输出为160位的散列函数
md5散列算法
09-22
c++源文件,求任意序列的Md5. int F(unsigned int x,unsigned int y,unsigned int z); int G(unsigned int x,unsigned int y,unsigned int z); int H(unsigned int x,unsigned int y,unsigned int z);...
Windows密码散列抓取原理
04-07
由boywhp先生整理成文,简要分析了Pwdump和ophc等工具抓取windows密码散列的原理.阐述了散列抓取过程、关键函数、解密还原过程等重点代码片段,只要有一定编程基础的都可照此马上把工具写出来。
基于混沌的带密钥散列函数安全分析
02-21
利用统计分析、生日攻击等方法,针对一类基于混沌系统的带密钥散列函数进行了分析,给出了针对这些算法的伪造攻击和等价密钥恢复攻击。同时,研究了上述攻击奏效的原因,并由此总结了基于混沌技术设计带密钥散列函数时...
Facebook获取密钥散列
08-07
Facebook获取密钥散列的apk 本资源配笔主写的博文食用最佳哦! 当初学习之用写到的demo 本来不想收分,但是现在资源最低必须要收1分,见谅! 我现在又修改为0分下载,不知道是否可行
[内网渗透]—提权后抓取密码
Sentiment的博客
12-08 717
抓取本地SAM文件中的密码 从注册表中导出抓取到指定文件后,即可传入mimikatz抓取密码成功抓取到密码hashCMD5解密得到密码。
windows渗透(sam、system文件导出)
panda.
03-20 1224
通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试,使用kali中hydra对服务器Telnet服务进行暴力破解(用户名为teltest),将hydra使用的必要参数当做FLAG进行提交(例:nmap -s -p 22);通过本地PC中渗透测试平台Kali对服务器场景Windows进行渗透测试,使用kali中hydra对服务器Telnet服务进行暴力破解(用户名为teltest),将hydra使用的必要参数当做FLAG进行提交(例:nmap -s -p 22);服务对应的端口号作为。
渗透测试笔记】之【内网渗透——横向移动:获取Windows明文密码与散列的若干方法和防御手段】
AA8j的博客
11-14 2997
文章目录1. Hash结构2. 获取方法2.1 mimikatz2.1.1 在线读取散列和明文密码2.1.2 在线读取SAM文件,获取散列2.1.3 离线读取lsass.dmp 文件,获取明文与散列1. 导出lsass.dmp 文件2. 读取lsass.dmp 文件2.1.4 离线读取SAM和system文件,获取散列1. 导出2. 读取2.1.5 使用PowerShell版mimikatz获取明文密码与散列2.2 GetPassword(获得明文密码及散列)2.3 PwDump7(获得散列
标题利用pwdump、lc7、hashcat工具破解用户口令(基于win7环境下)
qq_41942219的博客
10-31 4300
标题1.利用hashcat进行破解 首先在我们win7靶机中利用pwdump7取得靶机中的hash 我们记下这个备用 我们在主机上运行hashcat具体命令如下 hashcat64 -a 3 -m 1000 -D 2 B232B4FD141D42E4384937D59F13B5DE ?l?l?l?l?l?l?l?l -a 3 指定破解方式为暴力破解 -m 1000 指定破解为hash破解...
网络安全实验一 Window本地破解用户口令
最新发布
qq_64314976的博客
06-22 1265
然后访问"安全设置" -->"本地策略"-->"安全选项",然后再右侧找到"网络安全:不要在下次更改密码是存储LAN Manager的哈希"的设置,确认或更改其为"禁用"(默认为“禁用”)。然后访问"安全设置" -->"本地策略"-->"安全选项",然后再右侧找到"网络安全:不要在下次更改密码是存储LAN Manager的哈希"的设置,确认或更改其为"禁用"(默认为“禁用”)。然后选择前面存储的本机用户密码散列文件“C:\sam.txt”,点击“打开”按钮返回主界面。
导出系统注册表抓Hash的思路整理
fengling132的专栏
05-02 3064
首先使用 administrator权限登录,然后使用 reg来保存注册表中 HKLM下的 SECURITY,SAM,SYSTEM,注意这里必须使用 reg的 save选项,export选项是不行的, reg save hklm\sam sam.hive  reg save hklm\system ystem.hive  reg save hklm\security security.hiv
python_gnupg中对散列进行签名
06-13
使用Python的`python-gnupg`库,可以很方便地对散列进行签名。以下是一个示例代码: ```python import gnupg import hashlib # 初始化gnupg对象 gpg = gnupg.GPG() # 导入私钥 private_key_data = open('...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

平凡的学者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值