Windows reg 导出离线密码分析

administrator 权限 3389

1、winloginhack

Winlogin 2008 及其以上版本无效

2、mimikatz

3、pwdump、fgdump 之类

注入 lsass.exe 进程,需绕杀软

4、reg 导出离线分析

administrator 权限,导出 HKLM 下的 SECURITY,SAM,SYSTEM

reg save hklm\sam sam.hive
reg save hklm\system system.hive
reg save hklm\security security.hive

CAIN-Decoders-LSASecrets-导入 sam.hive、system.hive 直接读取明文(当前密码/历史密码)

CAIN-Cracker-LM&NTLMhashes-导入 sam.hive、system.hive (彩虹表)

win2K 以后都默认使用了 syskey

您需要 trustedinstaller 提供的权限才能对此文件夹进行更改

1、文件/文件属性-安全-高级-所有者-更改为 administrator

2、编辑 administrator 权限 当前权限为只读

3、添加 administrator 权限 完全控制

即可任意操作当前文件/文件夹。

win7 及其以上的系统推出的 trustedinstaller 权限是系统安全措施。当使用当前用户或者 administrator 组用户都无法删除的时候,就需要夺取【所有权】。

Windows 下 TASKLIST 、TASKKILL 、NTSD 的使用例子

1、TASKLIST

Examples:

TASKLIST 查看本机进程
TASKLIST /M 查看进程占用
TASKLIST /V /FO CSV
TASKLIST /SVC /FO LIST 查看进程服务
TASKLIST /APPS /FI "STATUS eq RUNNING"
TASKLIST /M wbem*
TASKLIST /S system /FO LIST
TASKLIST /S system /U 域\用户名 /FO CSV /NH
TASKLIST /S system /U username /P password /FO TABLE /NH 远程系统进程查看
TASKLIST /FI "USERNAME ne NT AUTHORITY\SYSTEM" /FI "STATUS eq running" 使用筛选器查看指定进程

2、TASKKILL

Examples:

TASKKILL /IM notepad.exe 关闭指定进程
TASKKILL /PID 1230 /PID 1241 /PID 1253 /T 关闭指定 PID 进程
TASKKILL /F /IM cmd.exe /T 强制关闭指定进程及子进程
TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
TASKKILL /S system /U 域\用户名 /FI "用户名 ne NT*" /IM *
TASKKILL /S system /U username /P password /FI "IMAGENAME eq note*"

一般先使用 TASKLIST 查看进程 PID,再使用 TASKKILL 查杀。

3、NTSD

win7 及之后的 Windows 版本系统没有自带 NTSD

1、利用进程的 PID 结束进程

命令格式:ntsd -c q -p pid

命令范例: ntsd -c q -p 1332 (结束explorer.exe进程)

2、利用进程名结束进程

命令格式:ntsd -c q -pn ***.exe (***.exe 为进程名,exe不能省)