Procudmp使用
首先得先獲取到內存文件lsass.exe進程, 它用於本地安全和登陸策略,一般在進程管理器中能看到, 比如這樣
通過查看systeminfo
利用procdump64.exe導出lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
(注:必須使用管理員權限)
利用mimikatz.exe從 lsass.exe 進程里獲取windows處於active狀態賬號的明文密碼
如果抓不到明文密碼, 可能是因為win7之后就打了補丁kb2871997,通過禁用Wdigest Auth來強制系統內存不保存明文口令,所以打了補丁的機器(版本較新的windows系統應該是自帶的)都無法直接導出明文口令。
先放出結論,我們可以通過修改注冊表來讓Wdigest Auth保存明文口令
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
修改了之后需要用戶注銷或者重啟重新登陸之后才會生效
描述了mimikatz會被攔截,可以bypass的一些方法
https://www.freebuf.com/articles/web/176796.html
powershell確實是內網中的一個大殺器,有非常多的用處,msf也可以配合powershell。