网络安全方向（ctf）学习笔记第一篇

使用PwDump获取域控密码

PwDump是Quarkslab出品的一款用户密码提取开源工具。目前PwDump支持Windows XP/Server 2003/Vista/7/Server 2008/Windows 10且相当稳定，可以抓取Windows平台上多种类型的用户凭据，包括本地账户，域账户，缓存的域账户和Bitlocker，具体信息如下：

1. Local accounts NT/LM hashes+history ：本机NT/LM Hash和历史登陆记录。

2. Domain accounts NT/LM hashes+history：域中的NT/LM Hash和历史登陆记录。

3. Cashed domain password：缓存中的域管理密码。

4. Bitlocker recovery information(recovery passwords & key packages)：使用 Bitlocker恢复后以后的信息。

1. 使用PwDump获取本地账号的Hash值

　　PwDump必须在DOS命令提示符下运行，直接运行QuarkPwDumpV0.2b.exe。

　　默认显示帮助信息，其参数含义如下：

　　　　-dhl:导出本地Hash值。

　　　　-dhdc:导出内存中的域控Hash值。

　　　　-dhd:导出Bitlocker信息，必须制定NTDS文件。

　　　　-nt:导出ntds文件。

　　　　-hist:导出历史信息。可选项。

　　　　-t:导出类型，可选项。默认导出John类型。

　　　　-o:导出文件到本地。

2. 使用PwDump导出账号信息实例

使用命令“QuarkPwDump0.2b.exe -dhl -o 1.txt”将导出本地Hash值到当前目录下的1.txt文件中。打开1.txt文件，可以看到导出Hash值得具体账号和值。