查看: 11977|回复: 3

如何导出Windows哈希系列一

[复制链接]
  • TA的每日心情
    开心
    2019-9-21 13:55
  • 签到天数: 9 天

    [LV.3]偶尔看看II

    发表于 2013-8-28 10:04:54 | 显示全部楼层 |阅读模式
    什么是SAM文件?
    引用自百度百科:
    SAM是windows系统的一个系统用户账号管理文件。其全称为security account manager Windows中对用户账户的安全管理使用了安全账号管理器SAM(security account manager)的机制,安全账号管理器对账号的管理是通过安全标识进行的,安全标识在账号创建时就同时创建,一旦账号被删除,安全标识也同时被删除。安全标识是唯一的,即使是相同的用户名,在每次创建时获得的安全标识都时完全不同的。因此,一旦某个账号被删除,它的安全标识就不再存在了,即使用相同的用户名重建账号,也会被赋予不同的安全标识,不会保留原来的权限。
    文件位置:C:\windows\system32\config\SAM
    SAM 文件一旦丢失,会失去所有用户账号。通常来讲,拿到一个计算机权限后,我们都会导出系统HASH来进行破解,以便进行接下来的渗透行为。下面根据几种接触模式来分别讲一下如何获取系统HASH: 物理接触 结合社会工程学的物理接触时,最简便的方法就是关掉计算机电源,BIOS里进行U盘启动或者CD启动,引导我们所准备的工具,进而进行导出哈希操作。
    bkhive - dumps the syskey bootkey from a Windows system hive.
    samdump2 - dumps Windows 2k/NT/XP/Vista password hashes.使用方法:
    # bkhive
    bkhive 1.1.1 by Objectif Securite

    http://www.objectif-securite.ch

    original author: ncuomo@studenti.unina.it
    Usage:
    bkhive systemhive keyfile
    # samdump2
    samdump2 1.1.1 by Objectif Securite

    http://www.objectif-securite.ch

    original author: ncuomo@studenti.unina.it
    Usage:
    samdump2 samhive keyfile下面是一个引导进入linux的导出实例:
    # mkdir -p /mnt/sda1
    # mount /dev/sda1 /mnt/sda1
    # bkhive /mnt/sda1/Windows/System32/config/SYSTEM /tmp/saved-syskey.txt
    # samdump2 /mnt/sda1/Windows/System32/config/SAM /tmp/saved-syskey.txt > /tmp/hashes.txt在获得到HASH后,后续可以使用 Cain & Abel, creddump 或 mimikatz 工具来进行整理分析。直接绕过系统密码 如果你不想导出HASH这么麻烦,就是为了拿身边电脑上的一个文件,甚至进去之后双击个自己U盘的exe,那就可以试试直接绕过的方法,这里简单介绍几款小工具。 BootRoot 2005黑帽的一个项目,我没有测试过,有兴趣的可以自己点链接了解一下。 SysRQ2    这款可以绕过Vista以下的系统。 Kon-Boot 首推这款工具,目前国内的WinPE有不少已经自带了,我在实际中也经常使用这个,目前最新版本可以绕过全Windows系列,Mac OSX部分,Linux部分。收费版,网络上有破解。 重置系统密码 如果你不担心被发现,或者原本就是你自己的电脑,那你就直接重置密码。
    记得很早以前有个方法就是删除SAM文件做到清空系统密码的目的,我测试了没用,可能是因为环境问题。这个时候又会有人说国内的WinPE很多自带了,那没办法,我还是说两个看上去专业的工具吧: bootdisk
    chntpw 已有控制权限 在已经通过各种方法进了系统之后,我的建议是先获得一个SYSTEM权限的CMDSHELL,这样方便后续的操作。 很简单:
    C:\>psexec.exe -i -s cmd.exe(这条命令是可以绕过UAC的) 那么接下来先导出个注册表感受一下:
    regback.exe 这个工具不知道大家是否了解,两条命令:
    C:\>regback.exe C:\backtemp\SAM machine sam
    C:\>regback.exe C:\backtemp\SYSTEM machine system如果是Win 2K以上那就简单了:
    C:\>reg save hklm\sam C:\sam.hive
    C:\>reg save hklm\system C:\system.hive
    C:\>reg save hklm\security C:\security.hive如果你实在闲着无聊,还有两个目录供你选择:
    C:\Windows\repair\
    C:\Windows\System32\config\不过在实际测试中,这两个目录获取到的HASH有时候不是最新的。 并且,这两个目录是没办法直接拷贝的,关于如何拷贝正在使用中的文件,那肯定是使用微软的卷影复制技术(VSC,Volume Shadow Copy Management)。 比较成熟的工具有Robocopy,如果exe不能用,那就用VBS脚本:vssown.vbs。 读取内存中的密码 如何读取LSASS中的密码,这个好像在最近几年不是什么新话题了,各种工具都可以。
    以前比较常用的fgdump,然后就是pwdump6,Vista出了之后,pwdump7和gsecdump就有了。 WCE我觉得真没必要说了,从WCE 1.3 Beta开始就可以抓明文,当时看雪出了个mimikatz抓明文掀起一阵腥风血雨,一个个都嚷嚷着Windows出大漏洞了,我想说那时候WCE 1.3 Beta的抓明文出了好久了好么。 C:\>WCE.exe -w 另外MSF也可以抓内存中的明文,具体不多说,大家自行查阅。 Part 1结束,欢迎各位吐槽。
    (本文根据老外的一篇文章而来,文章框架和部分内容转载。)
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2024-7-29 21:03
  • 签到天数: 657 天

    [LV.9]以坛为家II

    发表于 2014-1-14 12:02:50 | 显示全部楼层
    刀刀的帖子,必须回复一个
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-29 12:20
  • 签到天数: 44 天

    [LV.5]常住居民I

    发表于 2015-3-18 01:18:31 来自手机 | 显示全部楼层
    来学习下
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-12-29 12:20
  • 签到天数: 44 天

    [LV.5]常住居民I

    发表于 2015-3-18 01:18:52 来自手机 | 显示全部楼层
    来学习下
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-12-24 00:43 , Processed in 0.025758 second(s), 15 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部