在Windows 10周年更新后解密SAM蜂窝？

Question

在经历了很多挫折之后，我终于使用mimikatz破解了我的本地Windows 10密码，以提取正确的NTLM哈希。

特别是，samdump2将SAM解密成一个具有“空白”密码的用户列表：

samdump2 system sam -o out

即admin:1001:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::

相反，mimikatz成功地输出了正确的NTLM散列：

mimikatz # lsadump::sam /system:C:\system /sam:C:\sam

也就是说，

RID  : 000003e9 (1001)
User : admin
  Hash NTLM: f1320e0960da374b88e40cffbec44885

mimikatz的问题在于，AVs一下载就将其标记为恶意软件。

在Windows 10周年更新之后，是否还有其他可以在Linux上运行的工具来正确解密SAM文件？

Answer 1

secretsdump.py从嵌塞工作。它与卡利一起作为impacket-secretsdump。在从SAM和SYSTEM蜂箱中提取Windows/System32/config后，您可以这样使用它：

impacket-secretsdump -sam SAM -system SYSTEM LOCAL