文章总结： 该文档介绍了后渗透阶段的凭据与令牌收集技术。核心内容包括利用Metasploit模块提取系统存储凭据、通过Meterpreter进行键盘记录获取明文密码以及使用mimikatz从内存中提取域账户明文密码。文章强调明文密码极大便利了横向移动，建议防御方关注凭据保护与异常行为监控。 综合评分： 85 文章分类： 内网渗透,渗透测试,红队,实战经验,安全工具

凭据与令牌的收集技术

原创

寰宇秘阁 寰宇秘阁

寰宇密阁

2026年3月3日 10:00 上海

在成功完成权限扩展并获得管理员或 SYSTEM 权限之后，后渗透阶段的一个核心任务便是收集凭据（Credentials）与访问令牌（Tokens）。

这些信息往往是横向移动、权限提升和最终访问关键业务系统的“通行证”。在实际攻击与红队评估中，很多案例并非利用复杂漏洞，而是通过获取现成的用户名和密码一路扩散到整个网络。

本文将围绕以下几个方面展开：

• 利用管理员权限读取系统中存储的凭据
• 使用 Meterpreter 内置功能进行键盘记录
• 使用 mimikatz 从内存中提取明文密码
• 结合 MITRE ATT&CK 框架理解攻击行为

一、为什么“凭据收集”如此重要？

一旦获得高权限，攻击者可以：

• 读取浏览器或系统保存的账号密码
• 获取本地或域账户的明文密码
• 使用合法凭据进行横向移动
• 避开网络层面的异常流量检测

在 MITRE ATT&CK 框架中，与凭据获取相关的技术包括：

• T1555 – Credentials from Password Stores
• T1552 – Unsecured Credentials
• T1056.001 – Keylogging
• T1003 – OS Credential Dumping

二、从系统中读取已存储的凭据

在 Windows 系统中，部分凭据会被存储在：

• 注册表
• Windows Credential Manager
• 浏览器密码库
• 其他第三方软件配置中

这些数据中，有一部分可以在管理员权限下被直接读取。

Metasploit 凭据收集模块

Metasploit 提供了大量后渗透模块，路径为：

post/windows/gather/credentials/

这些模块可以用来提取：

• 浏览器保存的密码
• Windows 凭据管理器中的内容
• 其他应用程序保存的登录信息

这类技术对应 MITRE ATT&CK 中的 T1555。

三、被低估的攻击方式：明文凭据文件

除了系统和工具自动保存的凭据，还有一类极其常见但常被忽略的风险来源：

• 脚本中的硬编码密码
• Excel / TXT / 配置文件备份
• 明文存储在共享目录中的账号信息

这种方式无需高级技术，也不会在网络中产生明显异常，却经常直接导致目标被攻破。

MITRE ATT&CK 将其定义为：

T1552 – Unsecured Credentials

四、使用 Meterpreter 进行键盘记录（Keylogging）

除了被动读取存储的数据，还可以主动获取用户输入的凭据，例如通过键盘记录器。

在 MITRE ATT&CK 框架中，这种方法对应：

T1056.001 – Input Capture: Keylogging

1. 启动键盘记录

在 Meterpreter 会话中直接执行：

meterpreter > keyscan_start
Starting the keystroke sniffer ...

2. 等待用户输入凭据

此时切换到目标系统，例如：

• 打开内部系统登录页面
• 使用测试账号进行登录

3. 查看捕获的按键信息并停止记录

meterpreter > keyscan_dump
Dumping captured keystrokes...
https<Shift>://intranet<CR>
gazelle01<Tab><Shift>My<Shift>Pass123<CR>

meterpreter&nbsp;>&nbsp;keyscan_stop
Stopping the keystroke sniffer...

从输出内容可以直接还原出：

• 访问的 URL
• 用户名
• 明文密码

✅ 重要特点： 该方法不需要管理员权限，因此在某些场景下也可用于进一步扩展本地访问能力。

五、读取本地与域账户密码（mimikatz）

1. Windows 密码存在哪里？

在特定情况下，Windows 会将密码：

• 短暂以明文形式保存在内存中
• 使用可被系统解密的方式缓存

典型场景包括：

• 域用户登录
• 服务使用指定用户账号运行

这类技术在 MITRE ATT&CK 框架中被归类为：

T1003 – OS Credential Dumping

2. mimikatz 简介

mimikatz 是一个广泛使用的凭据提取工具：

• 开源
• 可直接从内存中读取明文密码
• 支持域环境

项目地址： https://github.com/gentilkiwi/mimikatz

Metasploit 已将 mimikatz 集成为 Meterpreter 模块，方便在后渗透阶段直接使用。

六、在 Meterpreter 中使用 mimikatz

1. 确保拥有 SYSTEM 权限

meterpreter > getsystem
got system via technique 1(Named Pipe Impersonation
(In Memory/Admin)).

2. 加载 mimikatz 模块

meterpreter > load mimikatz
Loading extension mimikatz...Success.

3. 通过 wdigest 读取明文密码

在本例中，目标系统为 Windows Server 2012 R2。 使用 wdigest 模块可以读取登录过程中缓存的域凭据：

meterpreter > wdigest
Running as SYSTEM
Retrieving wdigest credentials

wdigest credentials:
AuthID  Package    Domain    User          Password
------  -------    ------    ----          --------
0;997   Negotiate  NT AUTHORITY LOCAL SERVICE
0;20785 NTLM
0;467217 NTLM     HSILAB    Administrator  MySecretPassw0rd

✅ 成功获得域管理员的明文密码

七、为什么明文密码如此危险？

与密码哈希不同，这里拿到的是：

• 无需破解
• 可直接使用
• 可立即进行横向认证

因此，即使密码本身非常复杂，也无法抵御这种攻击方式。

结语

在真实的攻击路径中，最危险的往往不是漏洞，而是“已经存在的合法凭据”。

当攻击者成功进入系统并获得高权限后，凭据收集几乎成为一条“必经之路”。 理解这些技术的目的，并不是为了滥用它们，而是为了在防御中清楚地知道：

攻击者下一步最可能做什么，以及我们该如何阻止。

在后续阶段，这些凭据通常会被用于横向移动、权限维持与持久化控制，这也正是企业安全防护中最需要重点关注的部分。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：寰宇密阁 寰宇秘阁 寰宇秘阁《凭据与令牌的收集技术》