文章总结： 本文阐述了Windows环境下利用原生工具进行凭据转储的技术，旨在绕过杀软检测实现权限提升与横向移动。核心流程包括通过regsave导出SAM、SYSTEM及SECURITY注册表配置单元，利用rundll32对LSASS进程执行全内存转储，并离线使用secretsdump.py解析NTLM哈希。该方法隐蔽性强，降低了实时交互风险，是内网渗透中的标准攻击手段。 综合评分： 88 文章分类： 渗透测试,内网渗透,免杀,红队

凭据转储

TtTeam

2026年1月28日 04:29 海南

凭据提取是攻击者在 Windows 环境中实现权限提升与横向移动的最快捷手段之一。一旦攻击者获取目标主机的访问权限尤其是获得系统权限（SYSTEM）或通过令牌伪造方式他们的首要目标就是提取本地用户与域用户的密码哈希。在多数情况下，攻击者会避开可能触发杀毒软件告警的工具（如 Mimikatz），转而利用Windows 原生二进制程序来导出敏感注册表配置单元与内存快照。

该方法的核心优势在于隐蔽性极强。拥有管理员权限的攻击者可通过系统内置的reg save命令，导出HKLM\SAM、HKLM\SYSTEM与HKLM\SECURITY这三大注册表配置单元。随后，攻击者可执行rundll32工具，对本地安全授权子系统服务（LSASS）进程发起全内存转储操作 LSASS 进程中存储着明文凭据、Kerberos 票据以及缓存的登录数据。这些转储文件可被导出至攻击者的控制端，并进行离线破解，全程无需再次与目标主机的实时内存交互，大幅降低被检测的风险。

下述终端操作演示了完整的攻击流程：攻击者首先导出上述三个敏感注册表配置单元，这些文件中包含可用于后续解析的密码哈希与其他敏感信息；接着，攻击者定位lsass.exe进程的 PID，并通过rundll32工具隐秘生成内存转储文件lsass.dmp；最后，攻击者将提取的注册表配置单元导入secretsdump.py工具，即可获取所有本地用户的 NTLM 哈希值。这一系列操作，正是离线凭据提取的标准实施流程。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：TtTeam 《凭据转储》