获取密码和哈希值
Windows系统的登录密码储存在本地的SAM文件中,登录时系统会将用户输入的密码与SAM文件中的哈希值进行比对,匹配则认证成功。
SAM文件位于%SystemRoot%\system32\config目录下,储存着所有本地用户的凭证信息,但无法直接查看。
本地认证的流程简述如下:
- 用户输入账号密码。
- winlogon.exe 接收并传递输入的密码。
- lsass.exe 将密码转换为哈希值。
- 将计算得到的哈希值与SAM文件中存储的哈希值进行比对。
- 登录成功或失败的结果反馈给用户。
Mimikatz是一款强大的开源凭证转储工具,通常用于内网渗透测试,具备提升进程权限、注入进程、读取进程内存等功能。
下载链接:GitHub - gentilkiwi/mimikatz: A little tool to play with Windows security
一、在线读取lsass进程内存
以下是使用Mimikatz在线读取lsass进程内存的步骤:
- 将Mimikatz上传到目标主机。
- 执行以下命令:
mimikatz.exe "privilege::debug" "seku本站资源均来自互联网,仅供研究学习,禁止违法使用和商用,产生法律纠纷本站概不负责!如果侵犯了您的权益请与我们联系!
转载请注明出处: 免费源码网-免费的源码资源网站 » 51-2 内网信息收集 - 用户密码收集
发表评论 取消回复