window下抓取密码总结

本文转自知乎：https://www.php.cn/link/7428f98008346bb6aa6fc92d257505ab

无论是在我们进行授权的渗透测试中，还是在自己搭建的环境中进行攻防演练，获取服务器的明文密码或其哈希值都是至关重要的一步。如果能够获取到整个域内服务器的通用密码，我们就能轻易掌控域控内的所有服务器。当前用于抓取密码的工具主要包括exe格式、图形化工具以及用Python编写的工具等。

既然我们能够获取到主机的密码，那么相应的厂商也会采取相应的防护措施。例如，在Windows 10或2012 R2及以上版本的系统中，默认情况下内存缓存中禁止保存明文密码，此时可以通过修改注册表来抓取明文密码，但需要用户重新登录后才能成功抓取。杀毒软件会根据木马的特征码直接终止抓取密码的工具，这时我们需要编写能够绕过杀毒软件的代码、修改注册表等。

渗透测试往往是攻防双方的较量，是进攻方更厉害，还是防御方防护到位，往往就在一瞬间，细节决定成败。攻方需要了解防守方的策略，守护者则需明白攻方的套路。渗透测试之路漫漫，唯有不断学习来充实自己。

接下来介绍几款优秀的工具，话不多说，直接进入主题，以下测试均在自己搭建的环境中进行：

一、使用mimikatz_trunk工具抓取密码

1、mimikatz_trunk工具：

mimikatz是一款由法国人编写的轻量级调试器。这款工具的强大之处在于可以直接从lsass.exe中提取Windows处于活动状态的账户明文密码。mimikatz 2.0以后的版本抓取密码非常简单，只需两步即可。

(1)、提升权限:privilege::debug

(2)、抓取主机密码:

2、需要注意的是，当系统为Windows 10或2012 R2及以上版本时，默认在内存缓存中禁止保存明文密码，此时可以通过修改注册表来抓取明文密码，但需要用户重新登录后才能成功抓取。

(1)、如果抓取到的密码为空：

我们可以通过修改注册表来绕过这一限制，需要用户重新登录后才能成功抓取。修改注册表的命令如下：

reg add hklm\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

(2)、运行上述命令后，当用户再次登录服务器，我们重新加载mimikatz，就能获取到用户的密码:

当我们不需要存储明文密码时，可以将上述命令中的REG_DWORD的值修改为0。

3、我们还可以利用mimikatz在线导出SAM的哈希值：

分别执行命令:

log res.txt

privilege::debug

token::elevate

lsadump::sam

获取到哈希值后，我们可以通过破解哈希值来获取明文密码，使用hashcat直接运行，字典越大破解的几率就越大；推荐一个在线破解哈希值的网站：

www.objectif-securite.ch

Objectif Sécurité - Ophcrackwww.objectif-securite.ch

4、这款工具还可以与Procdump配合使用来抓取密码：

首先，我们使用procdump工具下载lsass进程的内存，该工具通常不会被AV检测到，分为32位和64位两个版本：

(1)、执行下载lsass进程内存的命令>procdump64.exe -accepteula -ma lsass.exe，执行完毕后，当前目录下会生成一个lsass---.dmp文件，这是我们需要的文件：

(2)、将这个文件放在mimikatz目录下，然后启动mimikatz.exe，执行sekurlsa::minidump lsass.exe_190310_001506.dmp:

(3)、执行读取密码的命令:sekurlsa::tspkg:

5、使用nishang抓取主机密码：

Nishang是一款针对PowerShell的渗透工具，除了可以抓取密码外，还可以进行端口扫描、提权、密码爆破等功能。这款工具依赖系统权限（有一点小瑕疵），今天仅介绍抓取密码的功能：

附下载地址:下载地址:

https://www.php.cn/link/42b1394bf884c117a3acd38d2d91d13a

PowerShell是一个框架，我们需要将nishang导入到这个框架中，运行脚本需要一定的权限，PowerShell默认的执行策略是Restricted，这个策略是不允许运行任何脚本的。可以在PowerShell中执行Get-ExecutionPolicy命令来查看默认的策略组:

我们需要修改策略组，在PowerShell下执行Set-ExecutionPolicy remotesigned，将策略值改为remotesigned，这样我们就可以运行脚本:

首先需要下载nishang，然后执行导入操作，Import-Module .\nishang\nishang.psm1，首次导入会产生警告提示，我们可以忽略，再次执行导入命令即可：

接下来我们尝试抓取用户的哈希值，执行Get-PassHashes，成功获取用户的哈希值:

执行抓取用户的明文密码:

(1) powershell –exec bypass –Command "& {Import-Module'C:\Windows\System32\WindowsPowerShell\v1.0\nishang\Gather\Invoke-Mimikatz.ps1';Invoke-Mimikatz}"

三、使用Quarks PwDump抓取用户密码:

Quarks PwDump是一款开放源代码的Windows用户凭据提取工具，可以抓取Windows平台下多种类型的用户凭据，包括：本地账户、域账户、缓存的域账户和Bitlocker。

(1)、QuarksPwDump.exe参数说明：

-dhl 导出本地哈希值

-dhdc导出内存中的域控哈希值

-dhd 导出域控哈希值，必须指定NTDS文件

-db 导出Bitlocker信息，必须指定NTDS文件

BibiGPT-哔哔终结者

B站视频总结器-一键总结 音视频内容

28

查看详情

-nt 导出ntds文件

-hist 导出历史信息，可选项

-t 导出类型可选，默认导出为John类型。

-o 导出文件到本地

(2)、执行抓取用户密码的命令quarksPwDump.exe --dump-hash-local -o hash.txt，我们将抓取到的本地用户的密码保存到本地目录下的hash.txt中，保存的位置以及文件名可以自己设置:

四、使用LaZagne本地抓取计算机密码:

LaZagne是一款用于检索大量存储在本地计算机密码的开源应用程序。该工具通过Python开发，易读、易维护，依赖于Python 2版本。这款工具不仅能抓取用户密码，还可以抓取浏览器中的缓存密码、SVN密码、WiFi密码、邮箱密码等功能。这款工具不仅适用于Windows，还可以适用于Linux、MAC，这里仅演示Windows下抓取本地的用户密码:

先看一下这款工具的参数:

测试一下抓取本地用户密码:

执行命令:lazagne.exe windows，成功获取到用户密码:

如果想详细了解这款工具，可以参考这篇文章，本人觉得写的不错，挺详细的，附链接

https://www.php.cn/link/b7720952eb73703ed33b3f05ddd2690a

五、使用wce抓取密码:

这款工具是一款哈希注入神器，不仅可以用于哈希注入，也可以直接获取明文或哈希。这款工具也分为32位和64位两个不同的版本：

先来看一下这款工具的参数详解：

参数解释:

-l 列出登录的会话和NTLM凭据（默认值）；

-s 修改当前登录会话的NTLM凭据 参数：:::；

-r 不定期的列出登录的会话和NTLM凭据，如果找到新的会话，那么每5秒重新列出一次；

-c 用一个特殊的NTML凭据运行一个新的会话 参数：；

-e 不定期的列出登录的会话和NTLM凭据，当产生一个登录事件的时候重新列出一次；

-o 保存所有的输出到一个文件 参数:；

-i 指定一个LUID代替使用当前登录会话 参数:。

-d 从登录会话中删除NTLM凭据 参数:；

-a 使用地址 参数: ；

-f 强制使用安全模式

-g 生成LM和NT的哈希 参数

-f 强制使用安全模式；希 参数；（unix和windows wce格式）；；；

-k 从一个文件中读取kerberos票据并插入到windows缓存中

-k 从一个文件中读取kerberos票据并插入到windows缓存中；

-v 详细输出；

(2)、抓取用户的明文密码:

执行命令:Wce.exe -w

(3)、抓取哈希值:执行命令wce.exe -l

如果不想将抓取的密码或哈希值显示在DOS界面上，也可以保存到txt文档中，例如：wce.exe -w > hash.txt

六、使用Getpass工具

这款工具由闪电小子根据mimikatz编译而成，双击运行或在cmd中运行可以直接获取明文密码，有时需要自己进行免杀处理。

七、使用Pwdump7工具

Pwdump 7是一个免费的Windows实用程序，能够提取Windows系统中的口令，并存储在指定的文件中。Pwdump7是Pwdump3e的改进版，该程序能够从Windows目标中提取出NTLM和LanMan口令散列值，而不管是否启用了Syskey（这是一个Windows账户数据库加密工具，是Windows下的一条命令）。

这款工具使用方便，直接在DOS命令中执行pwdump7.exe，就可以直接抓取密码。如果不希望输出到桌面，可以执行pwdump7.exe > hash.txt。

抓取到的哈希值可以通过在线破解获取明文密码:

如果抓到的哈希密码在这个网站上破解失败，可以将其放在MD5中进行破解也有可能成功，不过成功几率较小:

其实还有几款工具尚未介绍，例如利用注册表来离线读取哈希值、SqlDumper +配合mimikatz来读取用户密码等工具。等本人总结完这些工具的使用方法后，再与大家分享。重要的事情说三遍，测试是在本地搭建环境进行的，切勿非法使用；测试是在本地搭建环境进行的，切勿非法使用；测试是在本地搭建环境进行的，切勿非法使用。

以上就是window下抓取密码总结的详细内容，更多请关注php中文网其它相关文章！