内网渗透：密码凭证获取技术详解

"这篇文档是关于内网渗透测试中密码凭证获取的总结，重点讨论了在Windows系统中如何获取本地用户凭据，包括SAM文件和lsass.exe进程中的信息。内容涉及利用reg命令保存SAM文件，使用mimikatz工具提取密码Hash，以及直接从lsass.exe内存中抓取凭证。" 在内网渗透测试中，攻陷一台主机后，通常会尝试获取更多凭证以扩大攻击范围。Windows系统的密码凭证存储在SAM（Security Account Manager）文件中，位于C:\Windows\System32\config目录下。攻击者可以使用管理员权限运行`regsave`命令来备份SAM和SYSTEM文件，例如`regsave HKLM\SYSTEM Sys.hiv`和`regsave HKLM\SAM Sam.hiv`，然后将这些文件转移出来，通过mimikatz工具的`lsadump::sam`模块解析密码Hash。 mimikatz是一款强大的安全研究工具，无需备份SAM文件，可以直接读取本地SAM文件获取Hash。使用命令`privilege::debug`、`token::elevate`和`lsadump::sam`即可实现。 此外，攻击者还可以利用lsass.exe进程，因为该进程存储了登录凭证。通过mimikatz的`sekurlsa::logonpasswords full`命令，可以在目标机器上直接读取内存中的明文密码和Hash，但这可能需要应对杀毒软件的检测，因此在有杀软的情况下可能需要对mimikatz进行免杀处理。 另外，还可以使用Procdump工具来抓取lsass进程的内存快照，这为获取密码凭证提供了另一种途径。这种方法通常与mimikatz结合使用，以便进一步分析和提取密码信息。 这篇文档总结了多种在Windows环境中获取密码凭证的技术，对于理解内网横向移动的策略和防范措施具有重要意义。然而，这些技术的使用必须遵循合法授权和合规性要求，否则可能触犯法律。在实际操作中，应确保这些知识用于合法的安全测试和防御，而非非法入侵。