RWMC:利用PowerShell提取Windows账号密码的利器

摘要

RWMC:利用PowerShell提取Windows账号密码的利器

RWMC(Reveal Windows Memory Credentials)是一个Windows PowerShell脚本,仅仅使用它和CDB命令行选项(Windows调试器)就可以提取Windows凭证,此外可以本地提取、远程提取,还可以从dump出来的内存文件中提取,同时即使运行环境系统架构与目标系统不同,也能够正常工作。影响范围包括Windows 2003到2012、Windows 7(32位和64位)、Windows 8以及Windows 10家庭版。

值得注意的是,该脚本不同于MimikatzWCE,因为它不需要利用系统dll文件来解密数据,所有的解密工作都在这个脚本中完成。

功能清单

RWMC的主要功能和特点包括:

1、完全的PowerShell脚本实现 2、能够在本地工作、远程工作,或者从目标机器上收集到的dump文件中提取 3、不需要使用操作系统dll文件来在内存中定位凭证地址,但是需要一个简单的微软调试器 4、不需要使用操作系统dll文件来破译收集的密码,破译工作完全由PowerShell脚本实现(AES、3DES、DES-X) 5、它能够破译微软未归档的DES-X 6、它能够工作在与目标系统不同架构的系统上 7、在内存中不留痕迹

工作环境范围

它能够正常工作的系统版本包括:

Windows 2003到2012,以及Windows 10 (在Windows 2003、2008R2、2012、2012R2以及Windows 7的32位和64位平台、Windows 8和Windows 10的家庭版都测试通过)。

甚至,在另一种与目标系统不同架构的系统上也能正常工作。

运行环境要求

为了确保正常有效地工作,需要具备以下环境:

1、PowerShell 3 2、允许在你的机器上运行PowerShell脚本,所以需要修改PowerShell执行策略,例如:Set-ExecutionPolicy Unrestricted -force 3、与互联网连通

使用举例

下面,以Windows 2012R2或Windows 10系统为例,给出使用该工具的不同方法:

(1)远程提取:

* Launch the script * Local computer, Remote computer or from a dump file ? (local, remote, dump): remote [enter] * serverName [enter]

(2)从一个dump文件中提取:如果你必须转储目标机器的本地安全认证子系统服务(LSASS)进程信息,你可以用下面的功能选项来执行脚本:

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): dump [enter] * d:/directory_of_the_dump [enter]

(3)本地提取

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): local [enter]

Github下载地址

你可以在这里下载RWMC:点我下载

*参考来源:darknetGithub,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

RWMC(Reveal Windows Memory Credentials)是一个Windows PowerShell脚本,仅仅使用它和CDB命令行选项(Windows调试器)就可以提取Windows凭证,此外可以本地提取、远程提取,还可以从dump出来的内存文件中提取,同时即使运行环境系统架构与目标系统不同,也能够正常工作。影响范围包括Windows 2003到2012、Windows 7(32位和64位)、Windows 8以及Windows 10家庭版。

值得注意的是,该脚本不同于MimikatzWCE,因为它不需要利用系统dll文件来解密数据,所有的解密工作都在这个脚本中完成。

功能清单

RWMC的主要功能和特点包括:

1、完全的PowerShell脚本实现 2、能够在本地工作、远程工作,或者从目标机器上收集到的dump文件中提取 3、不需要使用操作系统dll文件来在内存中定位凭证地址,但是需要一个简单的微软调试器 4、不需要使用操作系统dll文件来破译收集的密码,破译工作完全由PowerShell脚本实现(AES、3DES、DES-X) 5、它能够破译微软未归档的DES-X 6、它能够工作在与目标系统不同架构的系统上 7、在内存中不留痕迹

工作环境范围

它能够正常工作的系统版本包括:

Windows 2003到2012,以及Windows 10 (在Windows 2003、2008R2、2012、2012R2以及Windows 7的32位和64位平台、Windows 8和Windows 10的家庭版都测试通过)。

甚至,在另一种与目标系统不同架构的系统上也能正常工作。

运行环境要求

为了确保正常有效地工作,需要具备以下环境:

1、PowerShell 3 2、允许在你的机器上运行PowerShell脚本,所以需要修改PowerShell执行策略,例如:Set-ExecutionPolicy Unrestricted -force 3、与互联网连通

使用举例

下面,以Windows 2012R2或Windows 10系统为例,给出使用该工具的不同方法:

(1)远程提取:

* Launch the script * Local computer, Remote computer or from a dump file ? (local, remote, dump): remote [enter] * serverName [enter]

(2)从一个dump文件中提取:如果你必须转储目标机器的本地安全认证子系统服务(LSASS)进程信息,你可以用下面的功能选项来执行脚本:

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): dump [enter] * d:/directory_of_the_dump [enter]

(3)本地提取

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): local [enter]

Github下载地址

你可以在这里下载RWMC:点我下载

*参考来源:darknetGithub,FB小编JackFree编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.com)

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: