查看: 17590|回复: 0

抓取HASH的10001种方法

[复制链接]
匿名
匿名  发表于 2021-3-5 14:11:29 |阅读模式
https://www.ihonker.org/data/att ... 82c00e3cd.png");background-position: left top;background-repeat: no-repeat;background-size: 30px;overflow-wrap: break-word !important;box-sizing: border-box !important;">
https://www.ihonker.org/data/att ... d153ee862.png");background-position: right bottom;background-size: 30px;background-repeat: no-repeat;overflow-wrap: break-word !important;box-sizing: border-box !important;">



前言

在我们内网拿下机器时候,总会需要去抓取机器账户 HASH 值,但是往往大部分情况下机器存在杀软,有杀软的情况下服务器第一时间就干掉了最爱的 mimikatz。

我们需要更多的方法去抓取 HASH,常见的方法就不再详细举例了。

Net4.0 执行读取

下载 xml 文件

https://www.ihonker.org/data/attachment/forum/202103/05/4f0615c49af280507e5985676a2bfefd.png" data-type="png" data-w="829" style="width: 100%;height: auto;" />


JS 加载

它已经能被一些敏感的 AV 识别,我们可以对其进行 bypass,通过 DLL 劫持绕过。发现在 ProcessMonitor 可以看到进程调用 C:\Windows\System32\amsi.dll

我们直接对其 DLL 劫持即可。

如何生成 mimikatz 的 js 版本,可以参考看下面的介绍。

https://www.ihonker.org/data/attachment/forum/202103/05/44f00d72ee46996aba3aaaa96ddbb9a8.png" data-type="png" data-w="1146" style="width: 100%;height: auto;" />

这里用 csc 生成了 base64 加密的版本,再用使用 javascript 启动内存中的 mimikatz。

wmic 调用

在本机的上面跑 mimikazi 进行密码的成功查看

Avdump

Avdump.exe 是在 Avast HomeSecurity 产品套件一起提供的小工具。顾名思义,该实用程序将给定进程标识符的内存转储到用户指定的位置。我们可以通过它进行新的 dump 方式利用。

它自带 Avast 杀软公司白签名。

我们直接运行即可。

在本机的上面跑 mimikazi 进行密码的成功查看。


SAM 解密

像一些变态的 EDR,会禁用 Procdump、Minidump 等⽅式转储 lsass 进程,我们可以换一种方法。

SAM 它是安全帐户管理器。⽤于存储⽤户和 hash,可以⽤来验证本地和远程⽤户。

要解密 hash,我们需要获取到 SAM SYSTEM SECURITY 这三个⽂件。只要有这3个文件我们就能进行读取。


注册表复值

REG SAVE 将指定的子项、项和注册表值的副本保存到指定文件中,直接保存就完事了。

卷影复制

通过拷⻉卷影副本卷中的⽂件来读取 3 个文件

先创建 c 盘的 shadowscopy


列出 shadows 的 list,从中并选择卷影副本卷,再复制我们需要的三个文件。

解密恢复 HASH

通过上面几种方法拿到 3 个文件后,我们用 impacket-secretsdump 来进行解密。

用得到的 HASH 直接去解密即可。


mimikatz 免杀

除此之外我们还可以对 MIMIKAZi 进行免杀的处理。

一般的方法是删除代码层 MIMIKATZ 特征,默认资源,如 ICO 图标,替换 bin 包内容。

混淆编译完程序(加壳),克隆签名等等。

替换删除敏感词/修改图标 ico

修改 rc 特征。

利用Hex找出一些敏感 DLL,函数如 wdigest.dll,isbase64interceptinput 等等进行替换

替换敏感的 bin 文件中方法指定成系统自带的 dll 方法

netapi32

系统中 netapi32.dll 文件

创建 bin 文件并将其方法指定成系统的 function。

最后使用 themdia 加壳后再运行。

成功运行无报警。


总结

随着 AV 查杀,态势行为特征扫描的发展,利用的难度也越来越大,我们也需要不断提高自身的姿势水平,学习更好的方法来进行红蓝对抗。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

指导单位

江苏省公安厅

江苏省通信管理局

浙江省台州刑侦支队

DEFCON GROUP 86025

旗下站点

邮箱系统

应急响应中心

红盟安全

联系我们

官方QQ群:112851260

官方邮箱:security#ihonker.org(#改成@)

官方核心成员

Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

GMT+8, 2024-12-22 11:07 , Processed in 0.033870 second(s), 12 queries , Gzip On, MemCache On.

Powered by ihonker.com

Copyright © 2015-现在.

  • 返回顶部