渗透中另一种抓系统密码HASH的技巧

     现在登录目标3389后,我看好多人都已经习惯抓密码HASH然后回来彩虹表破解出明文了,或者传个winloginhack来记录3389的登录密码。在我最近的几次渗透中,发现pwdump,fgdump这类工具现在已经不免杀了,而且这类工具都是要注入到lsass.exe进程的,遇到macfee这类的杀毒软件,默认是绕不过去的。Winlogin网上放出来的,经过我的测试,对WIN2008是没有效果的。今天浏览BLOG,看到老外提到另一种抓系统密码hash的技巧,经过实践,发现可行,分享给大家。

    首先使用administrator权限登录,然后使用reg来保存注册表中HKLM下的SECURITY,SAM,SYSTEM,注意这里必须使用reg的save选项,export选项是不行的,

如图1:

Package 钓鱼

然后把sam.hive,system.hive,security.hive下载回本地,打开CAIN,在”Decoders”标签下,点”LSASecrets”,点”+”来导入system.hive和security.hive.

如图二:

这里一般就能看到管理员的明文密码了,如图3,当然这里的密码,有时候也是历史密码。如果尝试登录不对,可以来尝试爆破lm/ntlmhash.

要破解LM/NTLMhash,首先点”cracker”标签下的”LM&NTLMhashes”然后点”+”,导入sam.hive,注意由于现在的win2000以后都默认使用了syskey,

所以还要导入system.hive中的syskey的值,然后就可以彩虹表破解了。

如图4:

如图5:

作者:mickey@pentest.cc