システムの実行中にWindows SAMファイルをダンプする方法は？

metasploitを使用してテストマシンを活用し、SAMファイルからハッシュを取得することができました。コマンドSYSTEMを取得するためにコマンドを実行しようとしましたが、実行できません。SAMファイルからハッシュを抽出する、よりポータブルな方法は何ですか？

これはアクセス許可の問題ではありません。WindowsはSAMファイルの排他ロックを保持している（これは、私の知る限り、読み込まれたレジストリハイブの標準的な動作です）ので、他のプロセスで開くことはできません。

ただし、最近のWindowsバージョンには、「ボリュームシャドウコピー」と呼ばれる機能があります。これは、主にバックアップ用に、ボリューム全体の読み取り専用スナップショットを作成するように設計されています。ファイルロックはデータの一貫性を確保するために存在するため、ファイルシステム全体のスナップショットが作成される場合は不要です。これは、のスナップショットを作成してC:マウントし、SAMファイルをコピーしてから、スナップショットを破棄できることを意味します。

これを正確に行う方法は、Windowsのバージョンによって異なります。XPには外部プログラムが必要で、Vistaおよび7にはが必要vssadmin create shadowで、Server 2008にはdiskshadowコマンドがあります。Live Domain Controllersからハッシュを安全にダンプするページに、このプロセスの詳細と手順、およびスクリプトがあります。

または、samdumpすべてのパスワードハッシュをメモリから直接抽出するために、さまざまな方向からLSASSプロセスを悪用するツールがあります。VSSスナップショットよりもはるかに高速ですが、システムがクラッシュするリスクが高くなります。

最後に、Googleはこのスニペットを紹介します。このスニペットの有用性は、自分自身でmetasploitを使用したことがないと評価することはできません。

meterpreter> use priv
meterpreter> hashdump

シャドウボリュームを管理したり、外部ツールを使用したりする必要のない、よりシンプルなソリューションがあります。regマイクロソフトが提供するコマンド（Windows 7およびWindows Server 2008でテスト済み）を使用して、SAMとSYSTEMを簡単にコピーできます。

reg save hklm\sam c:\sam
reg save hklm\system c:\system

（最後のパラメーターは、ファイルをコピーする場所です）

その後、パッケージsamdump2（Debianで利用可能：）を使用して、Linuxシステムでハッシュを抽出できますapt-get install samdump2。

$ samdump2 system sam
Administrator:500:aad3b435b51404eeaad3b435b51404ee:c0e2874fb130015aec4070975e2c6071:::
*disabled* Guest:501:aad3b435b51404eeaad3b435b51404ee:d0c0896b73e0d1316aeccf93159d7ec0:::

編集：長年の放棄の後、編集することにしました。

/etc/shadowLinuxシステムとは異なり、Windows SAMファイルはコピー/読み取りがロックされています。代わりに、このツールを回避するには、メモリからハッシュを抽出します。

これを回避する方法がありますが、以下で説明します。

ミミカッツ

でmimikatzを実行しsekurlsa::logonpasswordsます。

fgdump

mimikatzと同様の機能。実行すると、ハッシュはローカルファイルにダンプされます。

ハッシュダンプ

meterpreterに組み込まれています。メモリからハッシュを抽出します。

登録

また、レジストリから抽出することもできます（SYSTEMアクセスできる場合）。

1. reg save hklm\sam %tmp%/sam.reg そして reg save hklm\system %tmp%/system.reg
2. ファイルをコピーしてから実行します： samdump2 system sam

バックアップ

SAMファイルはバックアップ場所にも保存できます。 C:\Windows\Repair\SAM

また、ツールには最低限Administrator特権が必要であることにも言及する必要があります。また、SYSTEMアクセスが得られない限り、ほとんどのハッシュは取得されません。

Obscuresecメソッドは、Windows PowerShell 1.0対応のマシンでローカルに問題を克服します。私が知っているいくつかのターゲットを除外しますが、ちょっと、いい仕事です！（ありがとう、クリス）。

注：このような操作を実行するには、常に管理者権限が必要です

使用できます

http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d

または別のソースから（最近では追加するかもしれません）

https://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile

読書のアドバイス：

• http://blogs.technet.com/b/heyscriptingguy/archive/2013/07/12/using-the-windows-api-and-copy-rawitem-to-access-sensitive-password-files.aspx
• http://github.com/obscuresec/PowerShell/blob/master/Get-PasswordFile
• http://gallery.technet.microsoft.com/scriptcenter/Copy-RawItem-Reflection-38fae6d4
• http://gallery.technet.microsoft.com/scriptcenter/Get-PasswordFile-4bee091d
• http://blog.cyberis.co.uk/2011/09/remote-windows-sam-retrieval-with.html

リモートシステムを取得するには、SAMおよびSYSTEMハイブを上記の

• http://gallery.technet.microsoft.com/scriptcenter/GetRemoteSAM-b9eee22f

Red Teaming / Penetration Testingの多くの時間は最も明白な方法にアクセスできないため（拒否、Blue Teamによって監視されているなど）、ここで説明されていない追加の方法を指定したいと思います。

システムがハンドルを持っている（通常どおりコピー/削除できない）ファイルにアクセスする回避策の1つは、vssshadow.exe上記のとおりです。

第二- esentutil.exe。

ハンドル付きのファイルのコピーを取得する正確なコマンド：

esentutl.exe /y /vss c:\windows\ntds\ntds.dit /d c:\folder\ntds.dit

これは、SAM、SYSTEM、SECURITY、NTDS.DIT​​などに適用されます。

PS esentutl.pyimpacketのパッケージにあります：https : //github.com/SecureAuthCorp/impacket/blob/master/examples/esentutl.py

PSS esentutl PoCイメージ