超级会员免费看
获取密码和哈希值
Windows系统的登录密码储存在本地的SAM文件中,登录时系统会将用户输入的密码与SAM文件中的哈希值进行比对,匹配则认证成功。
SAM文件位于%SystemRoot%\system32\config目录下,储存着所有本地用户的凭证信息,但无法直接查看。
本地认证的流程简述如下:
- 用户输入账号密码。
- winlogon.exe 接收并传递输入的密码。
- lsass.exe 将密码转换为哈希值。
- 将计算得到的哈希值与SAM文件中存储的哈希值进行比对。
- 登录成功或失败的结果反馈给用户。
Mimikatz是一款强大的开源凭证转储工具,通常用于内网渗透测试,具备提升进程权限、注入进程、读取进程内存等功能。
下载链接:GitHub - gentilkiwi/mimikatz: A little tool to play with Windows security
一、在线读取lsass进程内存
以下是使用Mimikatz在线读取lsass进程内存的步骤:
- 将Mimikatz上传到目标主机。
- 执行以下命令:
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"命令说明:<
订阅专栏 解锁全文
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
