实验目的
掌握windows凭据的收集方法
实验环境
windows server 2008
实验工具
mimikatz
procdump
实验原理
用户凭证获取,一般是指 ntlm hash 或者可以直接利用的明文密码。
实验内容
使用mimikatz获取用户信息
使用procdump获取当前用户的明文密码
实验步骤
提取SAM数据库hash
1.使用reg命令保存注册表键。
reg save hklm\sam c:\sam.hive
reg save hklm\system c:\system.hive
2.C盘下会生成相应文件,将其复制到mimikatz的x64下。
3.利用mimikatz.exe读取hash,会获得hash的md5值,需要进行破解。
利用procdump获取明文密码
1.使用工具从lsass.exe进行中导出凭据,将其复制到mimikatz的x64下。
2.打开mimikatz.exe,使用其提取密码,会获得明文密码。
