Windows 单机免杀抓明文或 Hash [通过 Dump Lsass 进程_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

Windows 单机免杀抓明文或 Hash [通过 Dump Lsass 进程

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


Windows 单机免杀抓明文或 Hash [通过 Dump Lsass 进程

0x01抓明文的前提 还是那句话,必须已经事先拿到目标机器的管理权限,且看到有管理员的登录会话[如下所示],有了登录会话,我们才有可能从内存缓存中抓到明文密码,这一点非常重要,所以,一上来先习惯性的看下当前机器的登录会话 # query user 0x02利用微软自己的prodump.exe工具dumplsass.exe进程数据[此处目标机器为2008r264位系统][prodump免杀抓明文]   使用倒非常简单,直接指定lsass.exe进程名进行抓取即可,之后只需把生成的lsass.dmp文件拖回本地 接着,再在本地用mimikatz.exe去加载读取即可[注:本地机器的系统版本,位数务必要和目标完全保持一致,注意是完全保持一致] 0x03利用 powershelldumplsass.exe进程数据,当然啦,它只适用于2008r2之后的系统[此处目标系统为win764位,此方式对winserver同样适用][powershell免杀抓明文]虽然远程加载看似很方便,但实战中却经常会遇到各种杀软拦截,而且对于一些不能正常出网的机器直接这样远程加载也不现实,所以,此处就提供两种方式,根据实战场景自行选择,首先,尝试直接在目标机器上远程加载,如下 文章作者:klion

Windows 单机免杀抓明文或 Hash [通过 Dump Lsass 进程