mimikatz与hash

mimikatz与hash

基本介绍
Mimikatz 是一款功能强大的轻量级调试神器，通过它可以提升进程权限、注入进程、读取进程内存，
当然最大的亮点就是可以直接从 Isass.exe 进程中获取当前登录系统用户名的密码。
Isass是微软Windows系统的安全机制，它去要用于本地安全和登陆策略，通常我们在登陆系统时输入密码之后，密码便会储存在Isass内存中，经过其wdigest和tspkg两个模块调用后，对其使用可逆的算法进行加密并存储在内存之中，而mimikatz 正是通过对Isass逆算获取到明文密码！
下载链接：https://github.com/gentilkiwi/mimikatz/

抓取明文密码
在windows2012系统以及以上的系统之后这个默认是关闭的如果在win2008之前的系统上打了KB2871997补丁，那么就可以去启用或者禁用 WDigest。Windows Server2012及以上版本默认关闭Wdigest，使攻击者无法从内存中获取明文密码。Windows Server2012以下版本，如果安装了KB2871997补丁，攻击者同样无法获取明文密码

抓取明文密码

常用命令

privilege::debug• 

sekurlsa::logonpasswords

注册表添加
reg add HKLMSYSTEMCurrentControlSetContro/SecurityProvidersWDigest /v

UseLogonCredentsal /t REG DWORD /d 1 /f

LM Hash简介
LAN Manager（LM）哈希是Windows 系统所用的第一种密码哈希算法，是一种较古老的Hash，在LAN Manager协议中使用，非常容易通过暴力破解获取明文凭据。它只有唯—一个版本且一直用到了 NT LAN Manager(NTLM）哈希的出现，在 Windows Vista/Windows 7/Windows Server 2008 以及后面的系统中，LM哈希算法是默认关闭的，LM算法是在DES基础上实现的，不区分字母大小写。

原文始发于微信公众号（泷羽Sec-siznwaa）：mimikatz与hash