creddump 介绍

creddump是一个Python工具来提取从Windows注册表配置单元的各种证书和秘密。
目前,它提取:
  LM和NT哈希(SYSKEY保护)
  缓存域密码
  LSA机密 它实质上是执行所有bkhive/samdump2,cachedump和lsadump2做的功能,但是在一个独立于平台的方式。。
它也是在离线方式,所有能做这些事情的第一个工具(实际上,Cain & Abel开发,但不是开源的,并且只适用于Windows),

资料来源:https://code.google.com/p/creddump/
creddump 首页
creddump 源代码版本库

包含在creddump包工具

cachedump - 转储缓存的凭据
:~# cachedump
usage: /usr/bin/cachedump <system hive> <security hive>

lsadump - 转储LSA机密

:~# lsadump
usage: /usr/bin/lsadump <system hive> <security hive>

PWDUMP - 自卸密码哈希

:~# pwdump
usage: /usr/bin/pwdump <system hive> <SAM hive>

PWDUMP 示例

转储使用该系统(系统)和山姆(SAM)荨麻疹的密码哈希值:

:~# pwdump system sam
Administrator:500:41aa818b512a8c0e72381e4c174e281b:1896d0a309184775f67c14d14b5c365a:::
Guest:501:aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0:::
HelpAssistant:1000:667d6c58d451dbf236ae37ab1de3b9f7:af733642ab69e156ba0c219d3bbc3c83:::
SUPPORT_388945a0:1002:aad3b435b51404eeaad3b435b51404ee:8dffa305e2bee837f279c2c0b082affb:::

lsadump 示例

转储使用该系统(系统)和安全性(安全性)荨麻疹的LSA秘密:

:~# lsadump system security
_SC_ALG

_SC_Dnscache

_SC_upnphost

20ed87e2-3b82-4114-81f9-5e219ed4c481-SALEMHELPACCOUNT

_SC_WebClient

_SC_RpcLocator

0083343a-f925-4ed7-b1d6-d95d17a0b57b-RemoteDesktopHelpAssistantSID
0000   01 05 00 00 00 00 00 05 15 00 00 00 B6 44 E4 23    .............D.#
0010   F4 50 BA 74 07 E5 3B 2B E8 03 00 00                .P.t..;+....

0083343a-f925-4ed7-b1d6-d95d17a0b57b-RemoteDesktopHelpAssistantAccount
0000   00 38 00 48 00 6F 00 31 00 49 45 00 4A 00 26 00    E.J.&.8.H.o.1.I.
0010   00 63 00 72 00 48 00 68 00 53 6B 00 00 00          h.S.c.r.H.k...

_SC_MSDTC

_SC_SSDPSRV

_SC_Alerter

_SC_RpcSs

_SC_LmHosts

_SC_BthServ