|
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 |
从 Windows 11 Enterprise, Version 22H2 和 Windows 11 Education, Version 22H 开始,兼容系统默认已启用 Windows Defender Credential Guard。
工具简介
LSASS进程加载的wdigest.dll模块有两个有趣的全局变量,它们的作用单从名字就不言而喻了,前者用来判断明文密码是否应该存入内存,后者持有模块内 Windows Defender Credential Guard 的状态,并且可以通过修补内存中这两个全局变量的值在具有 Credential Guard 的系统上启用 Wdigest 明文密码缓存。
- g_fParameter_useLogonCredential
- g_IsCredGuardEnabled
更详细的分析可阅读:《Revisiting a Credential Guard Bypass From Wdigest》
https://whoamianony.top/revisiting-a-credential-guard-bypass-from-wdigest/
mimikatz.exe "privilege::debug" "sekurlsa::wdigest" "exit"
下载地址
链接:https://pan.baidu.com/s/1fASRMEQ4Ng4r2OG3BUwx8A
提取码:jsgz
往期推荐工具
原文始发于微信公众号(Hack分享吧):修补Wdigest内存抓明文密码工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论