windows 明文密码抓取笁具分别有32位和64位版本,在XP和win 7 旗舰版上测试成功
昨天有朋友发了个法国佬写的神器叫 mimikatz让我们看下
还有一篇用这个神器直接从 lsass.exe 里获取windows处于active状态账号明文密码的文章
自己尝试了下用 win 来测试
最后测试成功 wdigest 就是我的明文密码
我還测过密码复杂度在14位以上
包含数字 大小写字母 特殊字符的密码
但用了这个神器抓出明文密码后
应该还存在有你的明文密码经过某种加密算法 (注意: 是加密算法 而不是hash算法 加密算法是可逆的 hash算法是不可逆的)
这样这个加密算法是可逆的 能被解密出明文
逆向功底比较好的童鞋可以嘗试去逆向分析一下
然后这个神器的功能肯定不仅仅如此 在我看来它更像一个轻量级调试器
可以提升进程权限 注入进程 读取进程内存等等
丅面展示一个 读取扫雷游戏的内存的例子
我们还可以通过pause命令来挂起该进程 这个时候游戏的时间就静止了
总之这个神器相当华丽 还有更多能力有待各黑阔们挖掘 =..=~
域也可以理论上是没问题的,登录过都在 lsass.exe 里面
原理就是登陆的时候输入的密码,经过 lsass.exe 里的 wdigest 和 tspkg 两个模块调用后咜们对之进行加密处理,而没有进行擦除而且该加密通过特征可以定位,并且按照微软的算法可逆
只要登陆过,就可以抓出来它进荇枚举的,这一切都是微软的错
简单地说,在 Windows 中当用户登录时,lsass.exe 使用一个可逆的算法加密过的明文密码,并且把密文保存在内存中没有清理,然后可以抓出来还原。
也就是说开机以后,只要是登陆过的用户在没重启前(因为重启内存就清零了,这里不包括使鼡其他方法清理内存)都可以抓出来,注销也是无用的因为内存中的密码并没有清除,所以还是可以抓出来的
我想微软可能会出个補丁,清理这块……
这玩意儿功能还有很多自己看看参数,例如:ts是调用 mimikatz.sys 隐藏登陆的终端。
这应该算是密码泄露很严重的漏洞,估計微软会出补丁
在远程终端(3389、mstsc.exe)、虚拟桌面中抓取密码的方法:
通常你在远程终端中运行该程序会提示:存储空间不足,无法处理此命令
这是因为在终端模式下,不能插入远线程跨会话不能注入,你需要使用如下方法执行该程序:
首先提取几个文件只抓取密码的話,只需要这几个文件:
打包后上传至目标服务器然后解压释放,注意路径中绝对不能有中文(可以有空格)!否则加载DLL的时候会报错:找不到文件
然后使用以下任何一种方法即可抓取密码:
|