RWMC:利用PowerShell提取Windows账号密码的利器

怪狗 2016-7-29 HACK 0 0

         RWMC:利用PowerShell提取Windows账号密码的利器

  值得注意的是,该脚本不同于Mimikatz和WCE,因为它不需要利用系统dll文件来解密数据,所有的解密工作都在这个脚本中完成。

  功能清单

  RWMC的主要功能和特点包括:

  1、完全的PowerShell脚本实现

  2、能够在本地工作、远程工作,或者从目标机器上收集到的dump文件中提取

  3、不需要使用操作系统dll文件来在内存中定位凭证地址,但是需要一个简单的微软调试器

  4、不需要使用操作系统dll文件来破译收集的密码,破译工作完全由PowerShell脚本实现(AES、3DES、DES-X)

  5、它能够破译微软未归档的DES-X

  6、它能够工作在与目标系统不同架构的系统上

  7、在内存中不留痕迹

  工作环境范围

  它能够正常工作的系统版本包括:

  Windows 2003到2012,以及Windows 10 (在Windows 2003、2008R2、2012、2012R2以及Windows 7的32位和64位平台、Windows 8和Windows 10的家庭版都测试通过)。

  甚至,在另一种与目标系统不同架构的系统上也能正常工作。

  运行环境要求

  为了确保正常有效地工作,需要具备以下环境:

  1、PowerShell 3

  2、允许在你的机器上运行PowerShell脚本,所以需要修改PowerShell执行策略,例如:Set-ExecutionPolicy Unrestricted -force

  3、与互联网连通

  使用举例

  下面,以Windows 2012R2或Windows 10系统为例,给出使用该工具的不同方法:

  (1)远程提取:

* Launch the script * Local computer, Remote computer or from a dump file ? (local, remote, dump): remote [enter] * serverName [enter]

  (2)从一个dump文件中提取:如果你必须转储目标机器的本地安全认证子系统服务(LSASS)进程信息,你可以用下面的功能选项来执行脚本:

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): dump [enter] * d:/directory_of_the_dump [enter]

  (3)本地提取

* Launch the script  * Local computer, Remote computer or from a dump file ? (local, remote, dump): local [enter]

  Github下载地址

  你可以在这里下载RWMC:点我下载

原文地址:https://www.77169.com/hack/201601/224005.shtm

转载请注明来自华盟网,本文标题:《RWMC:利用PowerShell提取Windows账号密码的利器》

喜欢 (0) 发布评论