Windows reg 导出离线密码分析

administrator 权限 3389

1、winloginhack

Winlogin 2008 及其以上版本无效

2、mimikatz

3、pwdump、fgdump 之类

注入 lsass.exe 进程,需绕杀软

4、reg 导出离线分析

administrator 权限,导出 HKLM 下的 SECURITY,SAM,SYSTEM

reg save hklm\sam sam.hive
reg save hklm\system system.hive
reg save hklm\security security.hive

CAIN-Decoders-LSASecrets-导入 sam.hive、system.hive 直接读取明文(当前密码/历史密码)

CAIN-Cracker-LM&NTLMhashes-导入 sam.hive、system.hive (彩虹表)

win2K 以后都默认使用了 syskey

发表评论

电子邮件地址不会被公开。 必填项已用*标注