在后渗透阶段,想要长久控制一台或多台主机,获取主机密码是非常关键的一个环节,本次为各位提供了目前非常有效的几种密码提取方法。
无问社区超链接
需要注意,windows server 2008及以前的版本在系统中存储的是明文密码,而在之后的版本默认导出的密码均为NTLM hash,本文会提供此类问题的解决方法。
方法一:procdump转储lsass dmp获取系统密码
使用procdump获取密码副本,采用此方式可以解决mimikatz无法使用的问题,导出的dmp文件可在其他主机进行还原密码。
在导出dmp文件后通过Mimikatz对密码进行解密。
方法二:通过Wdigest获取Windows密码
Wdigest是lsass进程的一个SSP程序,用于LDAP认证和WEB身份认证,他会将用户的密码信息以加密的形式存储在内存中。而我们常用Mimikatz的logonpasswords命令也是依托于它运行的。
在这里可以看到使用logonpasswords无法获取系统密码,因为这个方法是在windows server 2012上运行的,在该版本的windows中默认是无法获取到明文密码的。
解决这个问题的方法很简单,通过将注册表
HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest下的UseLogonCredential的值修改为1即可,如果没有这一项可以自己添加(下面第一张图是没有这个选项的)。
操作命令:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
剩下的就是需要让用户再次输入密码登录(锁屏、故意使服务挂掉),然后再次运行logonpasswords命令便可看到内存中的明文密码。
这种方法同样适用于导出dmp文件的场景,同样都是需要在修改注册表后让用户再次登录。
方法三:使用comsvcs.dll导出系统密码
这种方法与方法一的原理一样,通过转储lsass进程的dmp文件来解密获取密码。只不过这里不需要依托于procdump,而是直接依靠系统自带的组件。
首先需要获取lsass.exe的进程号。
之后通过procdump的minidump函数来转储文件。
需要注意这里的命令需要在powershell中执行,因为转储文件需要有SeDebugPrivilege权限,而cmd下默认是没有开启的。
方法四:注册表导出SAM文件
通过注册表导出的方式只能获取到hash,无法获取到明文,命令比较简单可参考下图。
方法五:恶意SSP记录用户登录密码
这属于被动的获取密码方法,需要让用户登录。原理是通过修改lsass进程的SSP加载程序来执行恶意操作。这里所用到恶意程序就是mimikz中的mimilib.dll在使用时候请根据操作系统情况选择不同位数的mimilib.dll。
将mimilib.dll放在C:/windows/system32/目录下
修改注册表HKLMSYSTEMCurrentControlSetControllsa中Security Packages项的值如下图
用户再次登以后在C:/windows/system32/目录下会生成kiwissp.log文件,里面会记录用户的密码信息。
文章来源:freebuf
黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担!
如侵权请私聊我们删文
END
原文始发于微信公众号(黑白之道):后渗透——Window下多种密码提取的小技巧
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论