Windows 单机免杀抓明文或 Hash [通过 Dump Lsass 进程数据]

0x01抓明文的前提

还是那句话,必须已经事先拿到目标机器的管理权限,且看到有管理员的登录会话[如下所示],有了登录会话,我们才有可能从内存缓存中抓到明文密码,这一点非常重要,所以,一上来先习惯性的看下当前机器的登录会话

# query user

0x02利用微软自己的prodump.exe工具dumplsass.exe进程数据[此处目标机器为2008r264位系统][prodump免杀抓明文]  

使用倒非常简单,直接指定lsass.exe进程名进行抓取即可,之后只需把生成的lsass.dmp文件拖回本地

接着,再在本地用mimikatz.exe去加载读取即可[注:本地机器的系统版本,位数务必要和目标完全保持一致,注意是完全保持一致]

0x03利用

powershelldumplsass.exe进程数据,当然啦,它只适用于2008r2之后的系统[此处目标系统为win764位,此方式对winserver同样适用][powershell免杀抓明文]虽然远程加载看似很方便,但实战中却经常会遇到各种杀软拦截,而且对于一些不能正常出网的机器直接这样远程加载也不现实,所以,此处就提供两种方式,根据实战场景自行选择,首先,尝试直接在目标机器上远程加载,如下

文章作者：klion