（二）散列哈希原理及抓取

Windows系统散列值获取分析与防范

• LM Hash和NTLM Hash
• 单机密码抓取，只能在win7和server 2008及以前版本使用，明文密码登录，hash传递
• 使用Hashcat获取密码
  

1. LM hash 和NTLM Hash
      Windows系统一般使用两种方法对用户的明文密码进行加密处理。域网络环境中用户信息被存储在
htds.dit中。现在的windows密码一般由两部分组成，前半部分为LM Hash，后半部分为NTLM
Hash。
    在windows系统中hash的组成结构一般为：

1. username:RID:LM-HASH:NT-HASH

复制代码

1.LM Hash全名为LAN Manager Hash，本质是DES加密。
2.密码不足14字节将会用0来补全。大于14字节禁用。
3.LM Hash较容易被破解，windows可以将LM Hash从系统中禁用，
4.LM Hash用户的明文密码将被限定在14位以内。
5.如果LM Hash被禁用了，我们通过工具抓取到的LM Hash通常为:
aad3b435b51404eeaad3b435b51403ee，以表示LM Hash为空值或LM Hash被禁用

       NTLM Hash是微软为了提高安全性并且保证兼容性设计出的哈希加密算法，NTLM Hash本质是基于md4加密算法进行加密，个人版系统从windows vista以后，服务器版从windows server 2003以后的认证方式均为NTLM Hash。
Sam是windows安全账户管理器，是用来存储windows操作系统密码的数据库文件，为了避免密码的明文泄露，一般先将windows账号密码的明文先进行hash处理，在用户进行登录时，会将用户输入的信息先进行hash处理，然后与sam文件中保存的hash进行对比，如果符合才允许登录。 该文件保存在C:\Windows\System32\config\sam。 根据安全要求不能直接把sam进行复制。


2、单机密码抓取
1、GetPass.exe
2、PwDump7.exe
3、QuarksPwDump.exe
4、通过sam和system文件抓取密码
5、使用mimikatz在线读取sam文件
6、使用mimikatz离线读取lsass.dump文件
7、使用powershell对散列值进行dump操作
8、使用powershell远程加载mimikatz抓取散列值和明文密码