本文已参与「新人创作礼」活动,一起开启掘金创作之路。
windows密码凭证获取
windows hash:
windows系统用两种方法对用户的密码进行哈希处理,一种是LAN Manager(LM)哈希和NT LAN Manager(NTLM)哈希。哈希是一种加密函数进行计算后的结果,这个加密函数对一个任意长度的字符串数据进行一次数学加密函数运算,然后返回一个固定长度的字符串。
现在已经有更新的NTLMv2以及kerberos验证体系。windwos加密过的密码口令,称为hash,windows的密码系统hash默认情况下一般由两部分组成,第一部分是LM-HASH,第二部分是NTLM-HASH
下面我们了解一下LM哈希和NTLM哈希
LM哈希密码最大长度是14,密码长度超过14位就是NTLM哈希。
windwos系统下hash密码格式 用户名称:rid:LM-hash:NT-hash值
windows认证基础
1、本地认证:用户直接操作计算机登录用户
2、网络认证:远程连接到工作组中的某个设备
3、域认证:登录到域环境的某个设备
1、用户输入密码
2、系统收到密码后将用户输入的密码计算成NTLM Hash
3、与sam数据库(%SystemRoot%\system32\config\sa)中该用户的哈希比对
4、匹配成功则登录,不成功就是登录失败
NTML哈希,是一种单项哈希算法,windows将用户的密码计算成NTML哈希之后才存储在电脑中
本地认证中用来处理用户密码进程的是lsass.exe,密码会在这个进程中明文保存。通过该进程将密码计算成hash值与sam进行比对,使用mimikatz获取的明文密码就是在这个进程中得到的
凭证获取工作&方法
1、mimikatz
2、powershell脚本
3、WCE
4、pwddump7
5、ophcrack
6、Procdump+Mimikatz
7、注册表导出hash
8、LaZagne
9. Meterpreter获取Hash
10.Cobaltstrile获取Hash
