无论利弊，借助 Mimikatz 轻松获取凭据的时代正逐渐走向终结。随着 Microsoft 不断强化针对凭据窃取的防御机制，且端点检测和响应 (EDR) 解决方案持续升级，横向移动、有效载荷执行、直接访问本地安全机构子系统服务 (LSASS) 等传统红队技术正面临越来越严格的监测。因此，红队社区不得不探索在 Windows 系统上窃取凭据的替代方法。

试想一下，无需依赖“高级”载荷或访问 LSASS，仅凭“就地取材”战术调用未被充分利用的组件对象模型 (COM) 对象即可实现类似的结果。如果这让你感到兴奋，请锁定注意力，因为这篇博客充满了各种有趣的技巧，你可以在下一次任务中使用。

我们将简要介绍 COM 及其分布式对应组件——分布式组件对象模型（DCOM）的基本原理，深入探讨 RunAs 设置以及身份验证胁迫产生影响的原因，并介绍一种新的凭证采集工具——RemoteMonologue 。