利用mimikatz离线破解Windows SAM文件中的用户密码哈希

1. Windows SAM文件与密码哈希基础

在Windows系统中，安全账户管理器（Security Account Manager，简称SAM）是一个至关重要的数据库文件，它存储着所有本地用户的账户信息和密码哈希值。这个文件通常位于C:\Windows\System32\config\目录下，但系统运行时会对该文件进行独占锁定，防止直接访问或修改。

密码哈希的本质：当你在Windows系统中设置密码时，系统并不会保存密码的明文，而是通过特定的加密算法（如NTLM或更现代的加密方式）将密码转换为一段固定长度的哈希值。这个过程是单向的，理论上无法通过哈希值反推出原始密码。系统在验证登录时，会将用户输入的密码经过相同算法计算后与SAM中存储的哈希值进行比对。

哈希类型解析：

• LM Hash：早期Windows使用的脆弱算法，现已基本淘汰
• NTLM Hash：目前主流的Windows密码哈希算法
• NTLMv2：NTLM的增强版本，安全性更高

在实际渗透测试或取证场景中，我们常常会遇到无法直接访问目标系统内存（如lsass进程）的情况。这时，通过获取SAM文件及其配套的SYSTEM文件（包含解密所需密钥），就可以在离线环境下分析用户密码哈希。

2. 获取SAM文件的实战方法

2.1 通过注册表导出关键文件

在拥有管理员权限的情况下，最可靠的方法是使用Windows自带的注册表导出功能：

reg save HKLM\SAM sam.hive reg save HKLM\SYSTEM system.hive

这两条命令会将SAM数据库和SYSTEM配置单元分别保存为sam.hive和system.hive文件。需要注意的是，执行这些操作需要管理员权限，且文件大小通常在几十MB左右。

为什么需要SYSTEM文件？因为SAM中的密码哈希都使用系统密钥（SYSKEY）加密，而这个密钥就存储在SYSTEM注册表配置单元中。没有SYSTEM文件，我们无法解密SAM中的哈希值。

2.2 物理文件提取方案

当无法通过注册表导出时（如系统损坏无法启动），可以考虑直接从硬盘中提取原始文件：

1. 通过PE启动盘启动目标系统
2. 定位到C:\Windows\System32\config\目录
3. 复制SAM和SYSTEM文件

这种方法需要注意文件权限问题，某些情况下可能需要使用特殊工具如NinjaCopy来绕过系统保护。

2.3 特殊情况处理

在域环境中，域用户的信息并不存储在本地SAM文件中，而是保存在域控制器的NTDS.dit数据库中。不过本地账户（如管理员账户）的凭证仍会保存在SAM中。

3. Mimikatz工具深度解析

3.1 Mimikatz的核心功能

Mimikatz由法国安全研究员Benjamin Delpy开发，最初是为了演示Windows认证机制中的安全隐患。它最著名的功能就是从lsass.exe进程内存中提取明文密码，但在离线SAM分析方面同样强大。

工具获取：可以从GitHub官方仓库（gentilkiwi/mimikatz）获取最新版本。值得注意的是，由于mimikatz的敏感性，大多数杀毒软件都会将其标记为恶意软件，在实际测试环境中需要做好相应的免杀处理。

3.2 离线分析SAM文件

获得SAM和SYSTEM文件后，可以使用以下mimikatz命令进行离线分析：

mimikatz# lsadump::sam /sam:sam.hive /system:system.hive

这个命令会输出SAM中所有用户的详细信息，包括：

• 用户名和RID（相对标识符）
• LM Hash（如果启用）
• NTLM Hash
• 账户状态（启用/禁用）

典型输出示例：

RID : 000003e8 (1000) User : Admin LM : NTLM : 329153f560eb329c0e1deea55e88a1e9

4. 哈希破解实战指南

4.1 选择合适的破解工具

获得NTLM哈希后，可以尝试使用以下工具进行破解：

• Hashcat：支持GPU加速的多算法破解工具
• John the Ripper：老牌密码破解工具，支持多种哈希类型
• Ophcrack：基于彩虹表的特殊破解工具

4.2 Hashcat破解示例

假设我们已经获得哈希值329153f560eb329c0e1deea55e88a1e9，使用Hashcat进行字典攻击的命令如下：

hashcat -m 1000 -a 0 329153f560eb329c0e1deea55e88a1e9 rockyou.txt

参数说明：

• -m 1000：指定NTLM哈希类型
• -a 0：使用字典攻击模式
• rockyou.txt：常用的密码字典文件

对于简单的密码，使用GPU可以在极短时间内完成破解。但对于复杂的强密码，可能需要结合掩码攻击(-a 3)或混合攻击(-a 6或-a 7)来提高成功率。

4.3 提高破解效率的技巧

1. 使用优质字典：收集整理专业字典，如泄露密码库、行业术语等
2. 规则攻击：对字典应用大小写变化、添加前缀后缀等规则
3. 合理利用硬件：配置高性能GPU可以显著提升破解速度
4. 分布式破解：使用多台机器协同工作

5. 安全防护与检测措施

5.1 防御SAM哈希提取

1. 启用BitLocker：全盘加密可以防止通过物理访问提取SAM文件
2. 限制注册表访问：通过组策略限制对SAM和SYSTEM注册表项的访问
3. 使用Credential Guard（Windows 10+）：虚拟化安全功能，隔离敏感凭证

5.2 缓解哈希滥用风险

即使攻击者获取了密码哈希，仍可以通过以下措施降低风险：

1. 启用LSA保护：防止非特权进程读取lsass内存
2. 禁用NTLM：尽可能使用Kerberos认证
3. 实施受限管理模式：防止哈希传递攻击

5.3 监控与检测

1. 审核注册表访问：监控对SAM相关注册表项的访问尝试
2. 检测mimikatz特征：包括进程行为、API调用模式等
3. 日志分析：关注异常的身份验证事件和横向移动迹象

在实际工作中，我遇到过不少企业虽然部署了各种安全产品，却忽视了基本的权限管理和日志监控。有次在渗透测试中，我们发现通过一个普通域账户就能访问多台服务器的SAM文件，这种横向移动的风险往往比单个系统沦陷更为严重。安全防护需要层层设防，不能只依赖某一种技术或产品。