通过mimikatz提取内存转储文件(.DMP)中的密码
1.使用windbg导入转储文件(注:根据转储文件的系统版本要使用对应的windbg版本(x64或x86))
可把.dmp文件直接托入windbg窗口,或者使用菜单 File-> Open Crash dump... 打开文件
2.输入如下命令,提取密码。
.symfix #.符号路径
.reload #重新载入
.load G:\CTF\bisai\nec\Win32\mimilib.dll#这个路径是你mimikatz的路径
!process 0 0 lsass.exe #查找lsass进程,并将该进程转到本机环境中
.process /r /p 879e6030 #这里的879e6030 是上一步查找lsass进程的地址,注意替换
!mimikatz #载入mimikatz,读取密码
3.结果如下.
Viagra Fur Manner Kaufen FakePlew https://asocialiser.com/ - can i buy cialis online LenRhync cialis levitra ou viagra en ligne Elucky Cialis cemiampemn Acquistare Kamagra Nantes