Windows 10已經發布了一段時間，目前節節攀升的裝機量與被越來越多企業采用的消息頻現，可謂是形勢一片大好。相關人士預計9月末Win 10的裝機量將達到一億臺。我相信很多人過去幾周都在虛擬環境中體驗著Win 10系統。

而我的主要目的是為了研究系統升級對于我的標準工具有何影響。本文中，我將就Win 10系統中hash以及明文密碼提取的一些發現進行分享。

Win 10：I WANT YOU

我們都知道windows密碼hash的價值，以及我們通過hash傳遞攻擊測試而獲得的無窮樂趣。如果你尚未意識到這一點，請允許我強烈推薦你進行一下嘗試。現在，我更喜歡無論在什么條件下只要能獲取到實際密碼，即使是hash也足夠了。

我把常用的一些工具在Win 10中使用，看看效果究竟如何：

·mimkatz 2.0

·wce 1.42 beta

·fgdump 2.10

所有測試均在Win 10 Pro x64中執行。

mimikatz 2.0 alpha x64 輸出

wce 1.42beta x64 輸出

fgdump 2.1.0 輸出

結果

·mimkatz 2.0

我們可以抓取到hash，但沒有明文密碼

·wce 1.42 beta

似乎沒有抓取到，無論是hash還是明文密碼

·fgdump 2.10

果然抓取到hash

一般來說，這樣的結果并不是太糟糕。有hash之后，我們同樣可以破解它然后用來進行hash傳遞攻擊測試……但是，沒有直接抓取到明文密碼?不要這樣吧!

遇見神器RWMC

我決定在網上閑逛一下，又去咨詢了一些朋友看是否有什么有趣的工具能夠拿到Win 10中的明文密碼。于是，我發現了由Pierre-Alexandre Braeken創造的、被稱為“PowerMemory”的一組工具。其中最令人興奮的是一個被稱為“Reveal Windows Memory Credentials”(RWMC)的Powershell腳本。

我從github中找到了RWMC，然后在我的測試虛擬機上運行。

注釋：你必須先執行Powershell的“Set-ExecutionPolicy Unrestricted-force”，才能執行腳本。

下面這張截圖演示了如何使用RWMC從一臺本地Windows 10 Pro x64的機器抓取明文密碼，盡管這里并不該與其他Windows操作系統有所不同。

運行RWMC

有趣的是，該工具建議建立一個注冊表密碼然后重啟。我看了一下腳本，有如下發現：

在這里我們看到一個用于為WDigest提供者明文存儲憑證的注冊表，被設置為1。我沒有在這個Win 10 Pro中的設置進行任何破壞，因此在Windows 10中UseLogonCredential必須默認設置為0。跟進這個問題后發現似乎至少回到Win 8.1情況都是如此。

讓我們在修改過注冊表并重啟之后，再次嘗試一下RWMC。

情況有所好轉，我們獲得的結果如圖所示：

太棒了!完全可以運行，甚至可以說任務完成得非常出色!RWMC還有其他許多功能，例如遠程抓取密碼以及找回dump密碼。更多信息可以從這里獲得。

如果注冊表設置無法啟用，我就不得不進行重啟。這相當不方便，但是我還沒能在我有限的測試中找到一種有效的方法解決這一問題。

但是現在注冊表設置可以啟用，讓我們再次開啟mimikatz來看看會發生什么：

現在我們終于得到了我們想要的。Mimikatz現在抓取hash不存在任何問題。而有趣的是，WCE在我的測試中仍然失敗。

結果終于(或多或少)正常了：

·mimikatz

UseLogonCredentials列表設置可用

·RWMC

UseLogonCredentials列表設置可用

·WCE

在我的快速檢測中，似乎并沒有什么用

·fgdump

如預期，注冊表并不需要調整，但又不與WDigest進行交互

有趣的是Windows Defender(微軟自帶防護軟件)確實就這些工具的執行進行了“抱怨”，但是并沒有阻止它們的運行。

編者注：

從相關研究人員處獲悉，本文中作者操作的失當導致了圖片中顯示的“WCE執行后說服務安裝失敗”。WCE提示錯誤是因為其權限不夠，作者應該用system權限執行WCE。因此，結果可能會有所不同。