登录目标的3389端口,获取密码Hash,然后通过彩虹表得到密码明文,或者使用WinlogonHack来记录3389端口的登录密码,这些方法很多人已经非常熟悉了。在笔者最近的几次渗透中,发现PWDump、fgdump这类工具已经不在免杀之列了,而且这类工具都是要注入lsass.exe进程的,遇到Macfee这类的杀毒软件,默认是无法绕过的。笔者测试了Winlogon网站放出的内容,对Windows 2008是没有效果的。最近笔者浏览博客,看到国外的技术人员提出了一种获取系统密码Hash的技巧,经过实践发现可行,下面分享给大家。
首先使用administrator账户登录,然后使用reg命令保存注册表中HKLM下的security、sam、system权限。在这里必须使用reg命令的save选项,不能使用export选项。直接执行以下命令,效果如图1-59所示。
C:\>reg save hklm\sam C:\sam.hive C:\>reg save hklm\system C:\system.hive C:\>reg save hklm\security C:\security.hive
图1-59 获取hive文件
对于非Windows 2000操作系统,可以通过以下命令备份。
C:\>regback.exe C:\backtemp\SAM machine sam C:\>regback.exe C:\backtemp\SYSTEM machine system
将sam.hive、system.hive和security.hive文件下载并存储到本地,打开Cain,在“Decoders”标签页单击“LSA Secrets”选项,然后单击“+”按钮导入system.hive和security.hive文件,如图1-60所示。
图1-60 导入hive文件
导入成功后,就可以看到管理员的明文密码了,如图1-61所示。当然,这里的密码也可能是历史密码。
图1-61 获取明文密码
用获取的明文密码尝试登录。如果登录失败,则需要破解LM-Hash和NTLM-Hash的值。
单击“Cracker”标签页的“LM&NTLM Hashes”选项,然后单击“+”按钮,导入sam.hive文件。由于Windows 2000及以后的操作系统默认使用syskey,所以还要导入system.hive中syskey的值,然后就可以进行彩虹表破解了,如图1-62和图1-63所示。
图1-62 破解sam.hive文件
图1-63 破解系统密码
这个方法并非对Windows的所有发行版本都有效,如对Windows 2000 SP4、Windows XP SP2就无效,而对Windows 2003/2008都有效,具体如下。