RWMC:利用PowerShell提取Windows账号密码的利器

         RWMC:利用PowerShell提取Windows账号密码的利器

  值得注意的是,该脚本不同于Mimikatz和WCE,因为它不需要利用系统dll文件来解密数据,所有的解密工作都在这个脚本中完成。

  功能清单

  RWMC的主要功能和特点包括:

  1、完全的PowerShell脚本实现

  2、能够在本地工作、远程工作,或者从目标机器上收集到的dump文件中提取

  3、不需要使用操作系统dll文件来在内存中定位凭证地址,但是需要一个简单的微软调试器

  4、不需要使用操作系统dll文件来破译收集的密码,破译工作完全由PowerShell脚本实现(AES、3DES、DES-X)

  5、它能够破译微软未归档的DES-X

  6、它能够工作在与目标系统不同架构的系统上

  7、在内存中不留痕迹

  工作环境范围

  它能够正常工作的系统版本包括:

  Windows 2003到2012,以及Windows 10 (在Windows 2003、2008R2、2012、2012R2以及Windows 7的32位和64位平台、Windows 8和Windows 10的家庭版都测试通过)。

  甚至,在另一种与目标系统不同架构的系统上也能正常工作。

  运行环境要求

  为了确保正常有效地工作,需要具备以下环境:

  1、PowerShell 3

  2、允许在你的机器上运行PowerShell脚本,所以需要修改PowerShell执行策略,例如:Set-ExecutionPolicy Unrestricted -force

  3、与互联网连通

  使用举例

  下面,以Windows 2012R2或Windows 10系统为例,给出使用该工具的不同方法:

  (1)远程提取:

* Launch the script * Local computer, Remote computer or from a dump file ? (local, remote, dump): remote [enter] * serverName [enter]

  (2)从一个dump文件中提取:如果你必须转储目标机器的本地安全认证子系统服务(LSASS)进程信息,你可以用下面的功能选项来执行脚本:

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): dump [enter] * d:/directory_of_the_dump [enter]

  (3)本地提取

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): local [enter]

  Github下载地址

  你可以在这里下载RWMC:点我下载

原文地址:https://hack.77169.com/201601/224005.shtm

本文由 华盟网 作者:怪狗 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。