Skip to main content

Logonpasswords

sekurlsa::logonpasswords 是 mimikatz 中的一个子命令,可以从内存中提取出所有可用供应商的凭证,甚至明文密码。尽管我们很多情况下可以使用 PTH (后面介绍) 进行认证,但拥有明文凭证无疑具有显著优势的。为了减少被提取出明文凭证的概率,微软实施了一些举措例如禁用 wdigest (https://stealthbits.com/blog/wdigest-clear-text-passwords-stealing-more-than-a-hash/)。

使用该子命令需要提升特权,mimikatz 的该功能往往也被一些 C2 框架所内置,例如在 Cobalt Strike 中,可以通过更简单的命令 logonpasswords 来实现。

Back to top