一, 윈도우 SAM (보안 계정 관리자)
SAM은 SAM 데이터베이스가 로컬 사용자의 암호 해시 정보에 저장되어 SAM 데이터베이스 서비스를 관리하고, LM 해시 검증을 사용하여 초기 창, 그러나 창에서, 균열에 쉽게 2008 Vista 및 Windows Server의 시작이다, 기본 LM 해시으로 비활성화되어, 현재 사용 NTLM 해시.
SAM 데이터베이스는 HKLM \ SAM의에 저장되어있는 이 시스템 권한이 필요 액세스 . 참고 SAM 데이터베이스는 로컬 사용자의 암호, 도메인 사용자를 저장하지 않습니다.
regedit를 HKLM \ SAM별로보기 :
관리자 권한을 수행하는 방법 "을 참조하십시오. \ PsExec.exe -accepteula -i -s regedit.exe를"시스템 권한이 regedit.exe를 함께, 당신이 시작할 수 있습니다.
두 (대상 컴퓨터에서 적절한 소프트웨어) 온라인 모드 덤프 hashs
1. pwdump7 ( RUN AS 관리자 )
수 NTLM 해시 웹 사이트를 생성 , 암호가 NTLM 해시 설정되어 있지 확인
2. 사용 mimikatz
먼저 관리자 권한으로 실행,이 시간 mimikatz 프로세스는이 권리를 언급 할 필요가 있으므로 높은 무결성, 액세스 SAM 데이터베이스, 시스템 권한이 필요합니다.
유사 PsExec.exe -s 시작 mimikatz 위를 사용할 수,이 시간 mimikatz 프로세스가 시스템 무결성이며,이 시간을 직접 실행 "lsadump :: 샘은"이 될 수 있습니다.
세, 오프라인 모드 덤프 hashs
대상 컴퓨터가 해당 소프트웨어가 설치되어 있지 않은 경우 (관리자로 실행) SAM 파일을 덤프 시작하고 도구는 (이 시점에서 더 높은 권한이 필요하지 않습니다) SAM 파일의 해시에서 읽습니다.
등록은 HKLM \ SYSTEM SystemBkup.hiv의 저장
HKLM \ SAM SamBkup.hiv 저장 등록을
1. pwdump7
. \ PwDump7.exe -s E : \ RedTeam \ mimikatz \ SamBkup.hiv E : \ RedTeam \ mimikatz \ SystemBkup.hiv
2. mimikatz
mimikatz #의 lsadump :: 샘 /system:SystemBkup.hiv /sam:SamBkup.hiv
넷째, NTLM 해시 균열
일반적인 도구가 더 사전, 암호없는 경우, 또는 자기 구글 툴바의 사용, 짐승 힘에 의해, 다음, 거친 추측이 존, hashcat 등이 여전히 매우 어렵다.
다섯, 해시를 통과, 해시 통과
암호 어려운 NTLM 해시 균열 평문을 복원하지만, 옆으로 패스에 의해 해시 방식으로 이동할 수 있습니다. 윈도우는 비교 인증 과정에서 일반 텍스트 암호를 사용하지 않지만 암호 해시를 사용하면, 공격자는 NTLM 해시를 받고있는 의사 사용자 인증을 일으킬 수 있습니다.
이 문서 에서 찾아보실 수 있습니다 관심있는 윈도우 NTLM 인증에 대해 설명합니다.
mimikatz # sekurlsa :: PTH / 사용자 : 관리자 / 도메인 : 작업 그룹 / NTLM : ******************************** / 실행하여 powershell.exe를
mimikatz 커맨드 라인 환경에서 원격 대상 기기를 제어 할 수 PowerShell은 시작된다. (필자는 테스트 사용자의 NTLM 해시 얻었으나, 이유를 모르는, 권한이 거부 옆으로하고 이동하는 데 사용할 것)
读文件、拷贝本地文件到远程主机都没什么问题
列出远程机器进程列表
创建定时任务来执行命令,at 命令或schtasks命令,启动的子进程是System权限,nice~
PS C:\Windows\system32> at \\192.168.240.128 4:37PM C:\Windows\System32\calc.exe AT 命令已弃用。请改用 schtasks.exe。 新加了一项作业,其作业 ID = 3
创建定时任务来执行命令不太方便,如果有直接在powershell 命令行环境可以远程执行命令的方法再补充。