内网渗透测试的艺术[二]凭证收集

内网渗透测艺术一凭证收集

收集本机凭据是非常重要的环节.通常我们可以收集的凭据包括但不限于:Windows hash [NTLM,LM],浏览器密码、cookie 远程桌面密码 VPN密码 WLAN密码 IIS服务器密码 FTP密码等等.

WINDOWS密码

Windows密码加密后一般两种形式

NTLM哈希和LM哈希[VISTA和2008已经取消]这些哈希有两个存储位置,本地用户在SAM数据库,

域用户存储在域控制器的NTDS.dit数据库中.当用户登陆时,这些哈希也可能存储在内存中,能够被我们抓取到

SAM 是什么?

安全账号管理器-也就是存储用户密码的数据库文件,

他在%systemroot%system32/config/SAM中,挂载在HKLM/SAM上.

为了防破解,windows核心版本NT4.0中引入了SYSTEM函数,SAM的磁盘上副本文件将被部分加密,以便存储在SAM中所有的本地账户immature哈希都使用密钥(成SYSKEY加密)

提取SAM 数据库哈希方法

导出sam数据库中的密码

UAC权限问题后续讲解

方法1：以管理员权限运行cmd,输入以下命令

reg save hklm\sam c:\sam.hive

reg save hklm\system c:\system.hive

方法2：使用powershell

powershell -exec bypass Import-Module .\invoke-ninjacopy.ps1

Invoke-NinjaCopy -Path C:\Windows\System32\config\SAM -LocalDestination .\sam.hive

Invoke-NinjaCopy -Path C:\Windows\System32\config\SYSTEM -LocalDestination .\system.hive

将生成的sam.hive与system.hive转