為避免文章過(guò)長(zhǎng)，這里就不貼出詳細(xì)測(cè)試過(guò)程了。經(jīng)過(guò)我的測(cè)試，發(fā)現(xiàn)本地用戶hash抓取的方法中，以下幾種方式是可行的：

注冊(cè)表導(dǎo)出+cain

Pwdump7.exe

QuarksPwDump.exe

mimikatz.exe

這幾種方式都可以抓到本地用戶hash,其中mimikatz.exe只能抓到登陸過(guò)的賬戶的hash值,已經(jīng)抓取不到明文的密碼了，但是，有一些有意思的東西，直接上圖:

仔細(xì)看圖，可以發(fā)現(xiàn)，wdigest的內(nèi)容為n.a. ，也就是沒(méi)有抓取到明文密碼?？磥?lái)微軟還是有一點(diǎn)改進(jìn)的，注入lsass.exe進(jìn)程已經(jīng)抓不到明文了。

但是，重點(diǎn)是！?。M hash被抓出來(lái)了，而且完全是正確的！??！

當(dāng)密碼長(zhǎng)度小于等于14位，只要有l(wèi)m hash基本上都是秒破，我見(jiàn)過(guò)很多管理員的密碼根本沒(méi)有14位長(zhǎng)。從vista開(kāi)始就已經(jīng)不保存lm hash了，但是沒(méi)想到2012里還能抓到lm

然后wce.exe gethashes.exe gsecdump.exe抓取本地用戶hash都失敗了，其中wce更讓人無(wú)語(yǔ)

全執(zhí)行后會(huì)導(dǎo)致服務(wù)器直接重啟

不過(guò)我倒是順帶發(fā)現(xiàn)psexec啟用system權(quán)限的方法對(duì)于2012還是適用的

域用戶hash抓取測(cè)試

在虛擬機(jī)中搭建好域，域控制器就是這臺(tái)windows server 2012，另外再加入一臺(tái)windows server 2003的成員機(jī)器作為測(cè)試。

域中添加AdminUser, User1用戶，其中AdminUser是域管理員，再加上本地用戶Administrator在安裝域時(shí)會(huì)自動(dòng)添加成域管理員，所以總共是3個(gè)有效用戶，2個(gè)域管理員。

首先測(cè)試在2003的成員機(jī)器上登陸域用戶時(shí)的情況，可以用mimikatz和各種工具直接抓取明文，這個(gè)和以前的情況一樣，就不貼圖了。

在windows server 2012上用mimikatz直接抓取域登陸用戶hash，測(cè)試成功。

接下來(lái)是重頭戲，如何抓取所有域用戶的hashwww.t00ls.net5 v1 s4 P, J, E& {

gethashes.exe 和gsecdump.exe都直接悲劇，這意味著想要輕量級(jí)的抓取所有域用戶hash已經(jīng)很難了。

在線抓取失敗，沒(méi)辦法只能祭出終極武器：離線抓??！

第一種辦法： vssown.vbs + libesedb + NtdsXtract

詳細(xì)出處參考這里：http://pauldotcom.com/2011/11/safely-dumping-hashes-from-liv.html

首先用vssown.vbs把域數(shù)據(jù)庫(kù)ntds.dit和SYSTEM文件復(fù)制一份，然后把復(fù)制文件下載回本地，再利用libesedb分解ntds.dit文件，最后用NtdsXtract分析出用戶hash信息，這種方法除了能獲取用戶當(dāng)前密碼hash外，還能獲取歷史密碼hash值，能給社工帶來(lái)更多的幫助。除此之外還能獲取很多其他的信息，比如所有計(jì)算機(jī)列表，操作系統(tǒng)等等保存在域數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

具體的操作過(guò)程就直接上圖了，不懂得可以去看那篇英文的文章

不過(guò)有一點(diǎn)需要注意，那篇文章過(guò)后vssown.vbs有更新過(guò)，在創(chuàng)建shadow copy時(shí)需要指定盤符，不然會(huì)有個(gè)下標(biāo)越界的錯(cuò)誤，這是為了方便當(dāng)域數(shù)據(jù)庫(kù)保存在D盤時(shí)的情況。

然后把ntds.dit和SYSTEM這兩個(gè)文件下載回本地，放到BT5里面提取hash:

可以看到成功的提取了域里面所有用戶的密碼hash

在實(shí)際滲透時(shí)需要注意的問(wèn)題：

域的數(shù)據(jù)庫(kù)根據(jù)域的規(guī)模大小不一，我見(jiàn)過(guò)最大的有5G，所以下載回本地時(shí)推薦壓縮后再下載

提取hash時(shí)最好導(dǎo)出到文件中，直接在后面加 >filename.txt

第二種辦法：ntdsutil.exe + QuarksPwDump.exe

Ntdsutil.exe 是域控制器自帶的域數(shù)據(jù)庫(kù)管理工具。從windows server 2008 開(kāi)始就有了。

這個(gè)方法在QuarksPwDump.exe程序的Readme.txt里面有詳細(xì)的講解（windows 2008那個(gè)，適用于windows server 2012）。按順序運(yùn)行下列命令，不用帶#號(hào)

#ntdsutil

#snapshot

#activate instance ntds

#create

#mount {GUID}

#copy c:\MOUNT_POINT\WINDOWS\NTDS\NTDS.dit c:\NTDS_saved.dit

#unmount {GUID}

#quit

#quit

上圖：

然后用QuarksPwDump.exe導(dǎo)出hash值，運(yùn)行命令：

QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

注意：我發(fā)現(xiàn)其實(shí)作者忘了一個(gè)步驟，是刪除快照信息，如果域管理員是利用這個(gè)工具進(jìn)行管理的話，會(huì)很容易發(fā)現(xiàn)有人創(chuàng)建過(guò)快照，所以在quit之前應(yīng)該執(zhí)行delete {GUID}命令

以上就是兩種比較重量級(jí)的抓取hash的方法了。第一種方法我經(jīng)常用，從2003-2012通殺，有時(shí)候會(huì)遇到vssown.vbs出錯(cuò)，

一般是在windows 2008 R2上面出錯(cuò)比較多，這時(shí)候改用vssadmin.exe就OK的，vssadmin.exe的用法、功能和vssown.vbs差不多，vssadmin.exe在2008 R2中自帶。

具體使用方法參考：http://technet.microsoft.com/en-us/library/cc754968%28v=ws.10%29.aspx

第二種也可以通殺2003到2012，但是2003里面比較麻煩，需要在圖形界面中手動(dòng)備份數(shù)據(jù)庫(kù)才行，2008 和 2012則可以在命令行下搞定。另外用vssown.vbs復(fù)制出來(lái)的ntds.dit數(shù)據(jù)庫(kù)不能用QuarksPwDump抓取。

補(bǔ)充：cmd shell下的抓取方式

前面講了兩種抓取所有域用戶hash的方法，但是都是在交互的圖形化界面中進(jìn)行的。實(shí)際的滲透中，最好不要用mstsc登錄域控制器，

很可能上面裝有監(jiān)控遠(yuǎn)程桌面登錄信息的各種工具。更實(shí)際的情況應(yīng)該是我們從一臺(tái)成員服務(wù)器上通過(guò)遠(yuǎn)程的cmd shell抓取域用戶信息。我一般用psexec開(kāi)啟一個(gè)遠(yuǎn)程cmdshell，如果沒(méi)有域管理員密碼明文，就用wce進(jìn)行hash注入，再用psexec就可以了。

第一種方法主要是vssown.vbs的操作，沒(méi)有任何交互式的命令需要執(zhí)行，所以沒(méi)有什么特別的,在psexec下面直接操作即可

第二種方法中ntdsutil.exe的命令是交互式的，需要一步步輸入，而psexec開(kāi)啟的shell是沒(méi)辦法這么做的，會(huì)直接卡死在那。于是我嘗試了下把命令寫在一起，就像用netsh配置網(wǎng)絡(luò)信息時(shí)一樣，發(fā)現(xiàn)是可以用的，只不過(guò)有空格的地方用引號(hào)就行了。

所以ntdsutil的命令就可以寫成

ntdsutil  snapshot  "activate  instance  ntds"  create  quit  quit

ntdsutil  snapshot  "mount {GUID}"  quit  quit

copy  MOUNT_POINT\windows\NTDS\ntds.dit  c:\ntds.dit

ntdsutil  snapshot  "unmount {GUID}"  quit  quit2 v- p5 I2 O  E

ntdsutil  snapshot  "delete {GUID}"  quit  quit

接下來(lái)就是導(dǎo)出hash，執(zhí)行： QuarksPwDump.exe --dump-hash-domain --ntds-file c:\ntds.dit

具體的過(guò)程如下：

總結(jié)：

測(cè)試了這么多，最大的收獲應(yīng)該是mimikatz還能抓到lm hash。其實(shí)還是有很多工具可以抓到hash的，期待wce的更新，他的hash注入功能還是很實(shí)用的。

另外我發(fā)現(xiàn)有時(shí)候psexec在退出后，遠(yuǎn)程服務(wù)器的psexec的服務(wù)并沒(méi)有被刪除，這點(diǎn)相當(dāng)危險(xiǎn)，而且psexec會(huì)安裝服務(wù)，很容易被管理員發(fā)現(xiàn)。

理論上psexec可以用wmi遠(yuǎn)程執(zhí)行命令代替，但是一直沒(méi)有去研究那個(gè)，如果哪位大牛了解，望不吝賜教。

最后，吐槽下windows server 2012爛到掉渣的用戶體驗(yàn)，用起來(lái)跟翔一樣……