在内网渗透中，很多横向移动的方法都需要攻击者先获取域用户的密码或者Hash值才能进行，比如哈希传递攻击、各种票据传递，还有黄金票据维持权限等等。在这篇文章中，我们先来讲解一下横向移动中获取域内单机密码的方法，下篇文章再来讲那几种攻击手段。由于近期一直在准备“蓝帽杯”得比赛，所以一直没有时间更新，文章可能略显仓促，不足之处还请多多指教。

本文专为想我一样正在入门的小白准备，大佬请路过！

Windows中的密码

在Windows2000以后，Windows机器都用NTLM算法在本地保存用户的密码，密码的NTLM哈希保存在%SystemRoot%\System32\config\SAM文件中。 Windows操作系统通常使用两种方法对用户的密码进行哈希处理，即 LAN Manager（LM）哈希和 NT LAN Manager（NTLM）哈希。所谓哈希（Hash），即使用一种加密方法对明文密码进行加密，对一个任意长度的字符串数据进行一次加密运算，都可以返回一个固定长度的字符串。Windows加密过的密码口令，我们称之为Hash。

Windows操作系统中的密码一般由两部分组成：一部分为LM Hash，另一部分为NTLM Hash。在Windows中，Hash的结构通常如下：

Username:RID:LM-Hash:NT-Hash

在windows2000以后的系统中，第一部分的 LM-hash 都是空值，因为LM-hash可以很容易的破解，所以windows2000之后这个值默认为空，所以第二部分的NTLM-hash才真正是用户密码的哈希值。

在渗透测试中，通常可从Windows系统中的SAM文件和域控的NTDS.dit文件（在域环境中，用户信息存储在NTDS.dit中）中获得所有用户的Hash。也可以通过Mimikatz读取lsass.exe进程获得已登录用户的NTLM hash和明文值 。

详情请见：https://blog.csdn.net/qq_36119192/article/details/85941222

获取明文密码或密码Hash

获取到Hash后，我们可以用破解工具来破解得到明文密码，也可以进行哈希传递攻击（PTH）来横向渗透。

PwDump7工具

下载地址：https://www.openwall.com/passwords/windows-pwdump

Pwdump7可以在CMD下提取出系统中的用户的密码hash (包括LM和NTLM)，需要系统权限，“骨灰”级黑客玩家可能听说过这个玩具。通过Pwdump7提取出的HASH，可以用ophcrack等工具破出明文密码，对进一步渗透是有很大帮助的。

工具使用很简单，只需在命令行环境中运行Pwdump7程序，即可得到当前系统中各个用户的密码Hash (包括LM和NTLM)：

Mimikatz工具

下载地址：https://github.com/gentilkiwi/mimikatz

Mimikatz是由法国人Benjamin开发的一款功能强大的轻量级调试工具，因功能强大，能够直接读取Windows操作系统的明文