|
|
|
联系客服020-83701501

Win2012 Server抓HASH(本地+域)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
Win2012 Server抓HASH(本地+域)

为避免文章太长,这里就不贴出具体测试过程了。经由我的测试,创造本地用户hash抓取的办法中,以下几种行动是可行的:

注册表导出+cain
Pwdump7.exe
QuarksPwDump.exe
mimikatz.exe
这几种行动都或者抓到本地用户hash,此中mimikatz.exe只能抓到登岸过的账户的hash值,已经抓取不到明文的暗码了,但是,有一些有心理

的工具,间接上图

点击查看原图

仔细看图,或者创造,wdigest的内容为n.a. ,也就是不有抓取到明文暗码。看来微软照旧有一点改进的,注入lsass.exe过程已经抓不到明文了。
但是,重点是!!!LM hash被抓进去了,而且完全是切确的!!!
当暗码长度小于就是14位,只要有lm hash根蒂根本上都是秒破,我见过不少管理员的暗码根蒂不有14位长。从vista劈头就已经不保管lm hash了,但是没想到2012里还能抓到lm
此后wce.exe gethashes.exe gsecdump.exe抓取本地用户hash都腐烂了,此中wce更让人无语
全执行后会导致效力器间接重启

点击查看原图
不过我却是顺便创造psexec启用system权限的办法对于2012照旧实用的
域用户hash抓取测试
在假造机中搭建好域,域控制器就是这台windows server 2012,其余再加入一台windows server 2003的成员板滞作为测试。
域中减少AdminUser, User1用户,此中AdminUser是域管理员,再加上本地用户Administrator在安放域时会踊跃减少成域管理员,所以统共是3个有恪守户,2个域管理员。
首先测试在2003的成员板滞上登岸域用户时的情况,或者用mimikatz和种种工具间接抓取明文,这个和曩昔的情况异样,就不贴图了。
在windows server 2012上用mimikatz间接抓取域登岸用户hash,测试得胜

点击查看原图

接下去是重头戏,如何抓取部分域用户的hashwww.t00ls.net5 v1 s4 P, J, E& {
gethashes.exe 和gsecdump.exe都间接喜剧,这象征着想要轻量级的抓取部分域用户hash已经很难了。

在线抓取腐烂,没举措只能祭出终极火器:离线抓取!
第一种举措: vssown.vbs + libesedb + NtdsXtract
具体因由参考这里:http://pauldotcom.com/2011/11/safely-dumping-hashes-from-liv.html
首先用vssown.vbs把域数据库ntds.dit和SYSTEM文件复制一份,此后把复制文件下载回本地,再应用libesedb分解ntds.dit文件,结尾用NtdsXtract综合出用户hash动静,这种办法除了能获得用户当前暗码hash外,还能获得历史暗码hash值,能给社工带来更多的帮忙。除此之外还能获得不少其余的动静,比方部分共计机列表,把持零碎等等保管在域数据库中的数据。
具体的把持过程就间接上图了,不清楚明明或者去看那篇英文的文章
不过有一点需要留心,那篇文章事先vssown.vbs有更新过,在建树shadow copy时需要指定盘符,不然会有个下标越界的纰谬,这是为了未便当域数据库保管在D盘时的情况。

点击查看原图

此后把ntds.dit和SYSTEM这两个文件下载回本地,放到BT5内中提取hash:

点击查看原图

点击查看原图
或者看到得胜的提取了域内中部分用户的暗码hash
在实际浸透时需要留心的标题问题:
域的数据库根据域的范畴大小不一,我见过最大的有5G,所以下载回本地时举荐压缩后再下载
提取hash时最佳导出到文件中,间接在背面加 >filename.txt
第二种举措:ntdsutil.exe + QuarksPwDump.exe
Ntdsutil.exe 是域控制器自带的域数据库管理工具。从windows server 2008 劈头就有了。
这个办法在QuarksPwDump.exe法式模范的Readme.txt内中有具体的教学(windows 2008那个,实用于windows server 2012)。按挨次运行以下命令,没必要带#号

Default
123456789 #ntdsutil#snapshot#activate instance ntds#create#mount {GUID}#copy c:\MOUNT_POINT\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit#unmount {GUID}#quit#quit

上图:

点击查看原图

此后用QuarksPwDump.exe导出hash值,运行命令:

Default
1 QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

点击查看原图

留心:我创造真实作者忘了一个挨次,是删除快照动静,假如域管理员是应用这个工具终了管理的话,会很冗杂创造有人建树过快照,所以在quit夙昔理应执行delete {GUID}命令
以上就是两种对比分量级的抓取hash的办法了。第一种办法我时时用,从2003-2012通杀,无意候会碰着vssown.vbs蜕化,
通常为在windows 2008 R2上面蜕化对比多,这时辰改用vssadmin.exe就OK的,vssadmin.exe的用法、遵从和vssown.vbs差未几,vssadmin.exe在2008 R2中自带。
第二种也或者通杀2003到2012,但是2003内中对比麻烦,需要在图形界面中手动备份数据库才行,2008 和 2012则或者在命令行下搞定。其余用vssown.vbs复制进去的ntds.dit数据库不能用QuarksPwDump抓取。
抵偿:cmd shell下的抓取行动
背面讲了两种抓取部分域用户hash的办法,但是都是在交互的图形化界面中终了的。实际的浸透中,最佳不要用mstsc登录域控制器,
很梗概上面装有监控短途桌面登录动静的种种工具。更实际的情况理应是咱们从一台成员效力器上经由短途的cmd shell抓取域用户动静。我一般用psexec关闭一个短途cmdshell,假如不有域管理员暗码明文,就用wce终了hash注入,再用psexec便或者了。
第一种办法次假定vssown.vbs的把持,不有任何交互式的命令需要执行,所以不有甚么特另外,在psexec上面间接把持便可
第二种办法中ntdsutil.exe的命令是交互式的,需要一步步输入,而psexec关闭的shell是没举措这么做的,会间接卡死在那。因而我尝试了下把命令写在一同,就像用netsh配置网络动静时异样,创造是或者用的,只不过有空格的地方用引号就行了。
所以ntdsutil的命令便或者写成

Default
12345 ntdsutil  snapshot  "activate  instance  ntds"  create  quit  quitntdsutil  snapshot  "mount {GUID}"  quit  quitcopy  MOUNT_POINT\windows\NTDS\ntds.dit  c:\ntds.ditntdsutil  snapshot  "unmount {GUID}"  quit  quit2 v- p5 I2 O  Entdsutil  snapshot  "delete {GUID}"  quit  quit

接下去就是导出hash,执行:

Default
1 QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

具体的过程以下:

点击查看原图

点击查看原图

总结:
测试了这么多,最大的收获理应是mimikatz还能抓到lm hash。真实照旧有不少工具或者抓到hash的,期待wce的更新,他的hash注入遵从照旧很实用的。
其余我创造无意候psexec在参与后,短途效力器的psexec的效力并不有被删除,这点相当杀戮,而且psexec会安放效力,很冗杂被管理员创造。
实际上psexec或者用wmi短途执行命令代替,但是不毫不有去研讨那个,假如哪位大牛理解,望不吝赐教。
结尾,吐槽下windows?server 2012烂到掉渣的用户体验,用起来跟翔异样……

本文转自t00ls 由网络平安攻防研讨室(www.91ri.org)动静平安小组收集整理,转载请说明因由!

数安新闻+更多

证书相关+更多