隐蔽转储lsass，EDR绕过AV免杀

隐蔽的Windows凭证转储程序，免杀各大AV及绕过EDR。

技术采用：

• • 间接系统调用
• • ETW禁用
• • 多态
• • API混淆

技术讲解

首先这是一个普通用户权限shell，然后使用CVE-2024-26229提权至system。

BOF脚本执行完毕后，选择一个系统进程svchost.exe，直接inject，此时得到system权限shell。

接下来编译项目来提取lsass内存。

编译之，免杀defender。

传到360机器上执行，执行时发现报毒。接下来使用donut转换成bin，使用免杀加载器加载。

上传至机器并再次执行, C:\temp出现debug.dmp文件。

下载debug.dmp文件至本地，恢复文件签名。

python restoresig.py
File signature restored. Try opening it with Mimikatz now :)

使用mimikatz读取密码。

sekurlsa::minidump debug.dmp
sekurlsa::logonpasswords full

NTLMHash破解，得到密码123456

编译环境

直接使用visual studio默认配置编译，链接器中清单文件否，调试信息否，其余默认配置生成即可。

有任何疑问请直接留言，关注我以免丢失。