记一次找回win7密码

虚拟机密码忘了。

 

修改启动顺序为CD，设置虚拟机光盘镜像为kali ISO（这里用的是kali 2017.2）。

开启按f2进入kali live 模式

fdisk -l 查看磁盘分区，找到win7虚拟机所使用的磁盘。

mount /dev/sda1 /mnt 挂载完磁盘后需要退出/mnt 目录，重新进入才可以查看挂载的内容，这个在centos上也是这样的。

cd 到存放SAM文件的目录，找到SAM文件

然后，我们用Kali自带的 samdump2 来获取存储在Windows上的用户账号和密码。

samdump2 SYSTEM SAM -o sam.hash

然后可以使用hashcat、hrdra等工具来破解。

这里就不破解了，直接用chntpw清空密码比较简单直接。

 

chntpw -l SAM 列出系统中的用户

假设要修改用户admin的密码：

chntpw -u "admin" sam

选择1 clear（blank）清除用户密码

但是这个清空密码的功能不是特别稳定（我这不是实验，我是确实忘了密码了）

断开CD 连接，重启无需密码直接进入系统（进来第一件事就是修改密码！！！）

然后问题又来啦，admin怎么变成标准用户权限了。

点击 本地连接 提示没有权限！！！很多事情是做不了。

查看用户，只用Administrator 一个管理员权限，但是被禁用了，admin的权限是无权限修改这里的设置的。这里的admin完全是个“用户”，只能对自身的部分配置做更改。

于是尝试利用漏洞获取管理员权限

ms17-010 这要一开打直接重启

wmic 没有权限执行

at 可以将管理员提升system，但是此处admin是标准用户，因此也不行

sc Create syscmd binPath= “cmd /K start” type= own type= interact sc创建进程失败！

mimikatz、wce本地读取密码权限是不够的

dumpit 没试，主要是即使dump了内存，读出管理员密码，administrator被禁用了，也登录不了的。

使用msfvenom生成payload，也执行不起来，powershell、mshta都不行。。。

将U盘启动器直接添加为物理镜像，启动PE倒是可以清密码，可是没办法添加用户。

没法，权限控制太死，实在是无从下手。

 

导出补丁看一下

发现仅安装了三个补丁

然后和补丁列表比对一哈，上exp。

添加了一个 90sec 用户，并且是管理员权限。

注销切换90sec账户登录系统。

接下来就是将admin加入管理员组，然后切换admin账户，然后一切又恢复往日的平静。