内网渗透

作者：小刚 一位苦于信息安全的萌新小白帽，记得关注给个赞，谢谢 本实验仅用于信息防御教学，切勿用于其它用途

Win系统使用LM和NTLM两种加密方法对用户的密码进行处理， 两种加密方式在这有介绍Win本地hash概念

但注意的是从win-server-2008开始默认禁止使用LM加密方式 统一使用NTLM方式进行加密处理。 2008之前的如果密码位数超过14，会使用NTLM方法加密。

通常在渗透测试过程中，进行完提权之后，通常会进行权限维持，植入木马后门，或者创建一个高权限用户。 但是权限维持也有一定的时间，木马后门等被清理了之后，如果知道被攻击者的账户密码，再次拿下还不是分分钟的事。

1.在win中，系统密码通常储存在SAM文件中 物理路径：C:\windows\system32\config\SAM

SAM是windows系统的一个系统用户账号管理文件。 win中对用户账户的安全管理使用了安全账号管理器SAM的机制,安全账号管理器对账号的管理是通过安全标识进行的，安全标识在账号创建时就同时创建，一旦账号被删除，安全标识也同时被删除。一旦某个账号被删除，它的安全标识就不再存在了，即使用相同的用户名重建账号，也会被赋予不同的安全标识，不会保留原来的权限。 SAM 文件一旦丢失，会失去所有用户账号。

2.还有就是通过lsass.exe进程，转储内存中的密码。

lsass.exe是微软Windows系统中安全机制相关进程。主要用于本地安全和登陆策略，同时也管理IP相关安全信息。 lsass.exe造成相应的缓冲区溢出，从而从内存中读取密码。 但是，由于lsass.exe进程属于Windows系统核心进程，对lsass.exe攻击会导致服务崩溃，系统容易死机或者卡死。

将工具上传被攻击机，然后运行程序。

win对用户密码生成的hash值都会储存在hklm\sam注册表中， 密匙则存放在hklm\system中。 命令行运行（管理员权限）

通过mimikatz工具进行提取hash (注意：将提取出来的三个文件下载到本地，并移动到mimikatz目录下）

到在线hash破解网站进行破解。 https://www.objectif-securite.ch/ophcrack

成功拿到本机账户hacker密码123456

或者直接复制文件

Procdump 是微软官方发布的一款调试工具，可以将lsass.exe 转储成 dmp 文件。 （win运行时不能复制system和sam文件，利用此方法获取系统未清理内存时的登录信息凭证。）

微软的亲儿子怎么可能被当病毒，然后利用mimikatz读取dmp中的密码。

命令行运行（管理员权限）

利用mimikatz读取 (注意：将lsass.dmp文件下载到本地，并移动到mimikatz目录下）

直接读取出LM，NTLM和明文密码123456

原理是直接上传mimikatz工具，在线读取SAM文件提取hash值 但是要进行免杀处理，并是管理员权限

一款获取win密码的神器 可以抓取 系统密码、浏览器密码、wifi 密码等等(部分需要权限)

还有一些老牌的工具也挺好用 像pwdump8，WCE，Quarks Pwdump，GetHsahes等等。 好用是好用，但基本上传就被当病毒给干了，通过免杀啥的或许还能用，可以尝试一下。

本地读取hash的关键点就是要有权限。有权限，干啥都行。 如果抓取的LM Hash为 AAD3B435B51404EEAAD3B435B51404EE 可能密码为空或LM Hash被禁用。

自己整理的工具 可关注微信公众号:XG小刚 回复：hash工具