文章总结： 本文介绍不使用Mimikatz获取Windows凭证的方法。通过管理员权限利用regsave导出SAM等敏感注册表项，并用rundll32触发LSASS内存转储，实现离线提取哈希与票据。该方案利用系统原生二进制文件规避杀软检测，增强隐蔽性，适用于内网渗透与横向移动。 综合评分： 80 文章分类： 红队,内网渗透,免杀,实战经验

不用MimiKatz,怎么获取windows凭证

原创

CyberSecGuy CyberSecGuy

像梦又似花

2026年1月27日 20:01 广东

不做脚本小子,怎么获取windows凭证

很多时候在实战中,使用像猕猴桃(MimiKatz)的工具进行凭证获取,安全软件很快就会进行警告提示,绕过方法有很多,例如像在源码编译前的做编码处理,编译加壳等,但核心对一些敏感进程进行操作时也同样容易引起安全软件的警告.

那么如果是不用这些工具,我们可以怎么做呢?

下面我们就用Windows系统举例分享,只要有访问权限,我们就一样可以不借助工具来进行获取凭证.

直接入主题

凭据转储

凭据转储是攻击者在 Windows 环境中快速提升权限和横向移动的手段之一。一旦他们获得对计算机的访问权限，尤其是在以 SYSTEM 身份或通过令牌模拟获得访问权限的情况下，他们的第一反应就是提取本地用户或域用户的密码哈希值，有时甚至无需使用像 Mimikatz 这样的工具，以免触发杀毒软件的检测。相反，他们会使用 Windows 原生二进制文件来转储敏感的注册表项和内存快照。

这种方法的强大之处在于它的隐蔽性。拥有管理员权限的攻击者可以使用 reg save 命令导出 HKLM\SAM、HKLM\SYSTEM 和 HKLM\SECURITY 注册表项。然后，他们可以使用 rundll32 命令触发 LSASS 进程的完整内存转储，该进程存储着明文凭据、Kerberos 票据和缓存的登录信息。这些文件可以在离线状态下被提取和破解，而无需再次访问任何活动内存。

实战示例

在下面的终端中，红方首先保存了三个敏感的注册表单元：SAM、SYSTEM 和 SECURITY。这些单元包含密码哈希值和密钥，可供后续解析。

Shell: reg save HKLM\SAM sam.savereg save HKLM\SYSTEM system.savereg save HKLM\SECURITY security.save

接下来，找到 lsass.exe 进程 ID，并运行 rundll32 来触发内存转储，静默生成 lsass.dmp 文件。

最后，使用 secretsdump(.)py 处理提取的注册表单元文件，从而获取所有本地用户的 NTLM 哈希值。这就是离线凭据提取的原理。

如果感兴趣,后续还可以继续写关于这篇文章的后续内容,留言告诉我,你们想学习什么

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：像梦又似花 CyberSecGuy CyberSecGuy《不用MimiKatz,怎么获取windows凭证》