当一个应用程序运行的有问题时,生成一个 Dump 文件来调试它可能会很有用。在 Windows、Linux 或 Azure 上有许多方法可以生成转储文件。
ProcDump是一个可以用于诊断多种问题点的命令行工具。和Dr.Watson、ADPlus以及DebugDiag一样,ProcDump可以在不期望的情况或者异常发生时,用于俘获一个进程的内存转储。而且也同ADPlus以及DebugDiag一样,它可以对一个挂起的应用程序强制进行进程转储。但和之前的任何工具不同的是,ProcDump可以在CPU的活动峰值达到一个指定的级别时,对一个进程进行转储。这对于那些间歇性的性能问题是特别有用的,对于这种问题,其发生是很难预测的。 ProcDump包括一个单独的可执行
最近在进一步学习support技能的时候,了解到分析Dump的重要性,经过学习,做一些笔记。
在实战中,拿到一台Windows服务器权限,如果可以直接获取Windows明文密码的话,就可以更容易深入挖掘。本文分享几个获取Windows明文密码的技巧,简单直接且有效。
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途,如果您对文章内容有疑问,可以尝试加入交流群讨论或留言私信,如有侵权请联系小编处理。
声明:公众号大部分文章来自团队核心成员和知识星球成员,少部分文章经过原作者授权和其它公众号白名单转载。未经授权,严禁转载,如需转载,请联系开白!
进程的内存空间中存储的域,本地用户名和密码称为LSASS(本地安全机构子系统服务)。如果在目标上具有一定的权限,则可以授予用户访问LSASS的权限,并且可以提取其数据以进行横向移动和特权升级。
先打开网站看看。是一个登陆框,使用弱口令和注入都无果。在网页中发现了 login as guest页面。
mimikatz是个好东西,它的功能很多,最重要的是能从 lsass.exe进程中获取windows的账号及明文密码——这是以前的事了,微软知道后已经准备了补丁,lsass进程不再保存明文口令。Mimikatz 现在只能读到加密后的密码。
前面一篇写过《Windbg调试----Windbg入门》,可能不少新手会问,我在本地用Visual Studio去做调试就行了,为什么还需要那么抽象的Windbg去进行调试呢?
简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录。
LM Hash(LAN Manager Hash)其本质是 DES 加密。在 Windows 2008 及开始之后默认禁用的是 LM Hash。
在拿到一台 Windows 的管理员权限以后,可以通过多种方法获取 Windows 系统的明文密码或者 hash 值,这将有利于我们在内网中扩大渗透范围。
应用程序如果启动即闪退,那大部分时候日志模块还没初始化完成,很难通过应用自身的启动流程了解到应用启动失败的原因。本文来告诉几个不同的方法用来调查应用启动失败的原因
这个系列的文章翻译由信安之路红蓝对抗小组的所有成员共同完成,后续将陆续发布,敬请期待!
渗透测试过程中我们经常需要获取管理员的账号密码,以便进行更进一步的操作,下面我将给大家总结几种 steal account 的手法!其中可能也会涉及到 apt 的内容,希望大家喜欢。
文章看点:本文主要讲述从手动procdump+mimikatz提取凭证到CrackMapExec远程提取凭证的整个过程和原理。
AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。
红队中各种抓取密码凭据的方法,文末彩蛋,内附工具链接,以及我制作的过360的minikatz的版本,各位请享用,最近筹备重新开blog,记录学习计划,不然知识我学完立马就忘了,与大家一起学习!
加壳一般是指保护程序资源的方法. 脱壳一般是指除掉程序的保护,用来修改程序资源. 病毒加壳技术与脱壳杀毒方法 : 壳是什么?脱壳又是什么?这是很多经常感到迷惑和经常提出的问题,其实这个问题一点也不幼稚。
1.0前言 后渗透常见的信息收集思路 延伸: 渗透测试中的技巧 后渗透阶段的攻防对抗 linux入侵后续指南 mimikittenz:又一款Windows密码获取工具 1.1系统管理员密码 A.常用来获取windows密码的工具 1.mimikatz 2.wce 3.getpass 4.QuarksPwDump 5.reg-sam 6.pwdump7 7.procdump.exe +mimikatz ……. B.免杀抓取密码的两种方式 11.powershell "IEX (New-Object Net.W
在某些用户的设备上,会发现自己的软件会在启动之后过一段时间就崩溃了,一个可能的原因是自己的软件被其他广告软件注入了,如 上海展盟网络科技有限公司的 gamebox 组件
Mimikatz是渗透测试中常用的知名工具,它主要用于从Windows上的内存中转储凭据,作为渗透测试人员此方法对于Windows Active Directory环境中的横向和纵向权限提升非常宝贵,并且几乎用于所有内网渗透测试,由于其受欢迎程度,Mimikatz可执行文件和PowerShell脚本已被大多数防病毒(AV)解决方案检测到,这篇文章将介绍几种替代方法来实现相同的目标而无需修改Mimikatz来躲避AV的查杀,以及一些预防和检测这种攻击的方法
个人水平有限,文章若有不足之处,感谢各位大佬批评指正,希望能够与各位师傅分享学习。
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会议被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制欲环境下的全部机器。
俗话说:万事开头难! 自从来到新公司遇到性能问题后,需要想办法解决这个问题,但是一直没有合适的性能分析工具,然后找到StevenChennet 大神帮忙,他用WinDbg工具远程帮我分析了一个 dump文件,但是只看到键盘 “啪啪啪”,得到了结果,却不是很清楚WinDbg神奇具体如何使用的。结果,第二天,性能问题又来了,总不能每次劳烦大神驾到,所以不得不自己开始学习WinDbg,这里记录一个入门过程。 1,首先,下载并安装WinDbg程序 从下面的地址打开: https://msdn.microsoft.c
在内网渗透的过程中可能会遇到目标管理员有远程登陆的记录,有些管理员会有保存密码的习惯,这个时候我们想要扩大横向范围,密码搜集是最重要的。
风和日丽的一个下午,好基友突然发了一个私服的网站,说搞不下来,我打开网页看了一下,网页十分简单,功能点不多,仅仅只有一个登录框,而且还没办法注册,不好看,随手测了下有无Post注入,单引号大法,结果是没有的。没啥功能点确实是不太好搞,信息收集一波。
这篇文章来自@sin好友投稿,最近闲来无事做,找口子提升内网渗透水平,通过fofa语法找到了一个Jenkins入口。
CentOS(Community Enterprise Operating System)是Linux发行版之一,它由来自于Red Hat Enterprise Linux(RHEL)依照开放源代码规定发布的源代码所编译而成。由于出自同样的源代码,因此有些要求高度稳定性的服务器以CentOS替代商业版的Red Hat Enterprise Linux使用[1]。自从红帽公司单方面宣布终止CentOS的开发后,我们腾讯云的用户也逐步开始将应用迁移到其它操作系统上。由于CentOS 7的维护终止日期在2024年6月30日,距离当前还有一段时间,所以还有少量客户在继续使用着该版本。
在内网渗透过程中,当得到内网中某一台机器权限后,如果需要进一步的扩大攻击范围,那么这时候就需要进行横向移动,以被攻陷的主机作为跳板,来访问域内其他主机.通过此类攻击手段,最终可能会获得域控制器(DC)的访问权限及重要数据.
lsass.exe是一个系统进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略zhi。
本故事纯属虚构。 初入职场的小木,负责维护一个博客系统,后端采用C++编写,部署在Windows服务器上。刚刚熟悉完产品的小木,接到了后台服务的报警,服务器后端偶尔会程序崩溃。刚开始小木还有点慌张,脑子里面浮现出各种问题,这个是程序的bug吗?茫茫的代码如何寻找问题?log能看到线索吗?当冷静下来后,小木忽然想起前几天看的两篇文章<<Windbg调试----Windbg入门>>和<<Windows程序Dump收集>>,还没动手过呢,正好练习练习。
LSASS 被配置为作为受保护进程 (PPL) 运行,您可以使用 PowerShell 进行查询。
在跟女朋友一起散步的时候,突然接到通知,客户已经给了测试的资产范围如下,目标要求拿到目标服务器内网权限。
Windows 系统一般使用两种方法对用户的密码进行加密处理,在域环境中,用户的密码信息以哈希值的密文形式存储在 ntds.dit 二进制文件中,该文件位于 %SystemRoot%\ntds\ntds.dit 路径下,由于该文件一直被活动目录访问,因此这个文件是被系统禁止读取的。
dotnet test [<PROJECT> | <SOLUTION> | <DIRECTORY> | <DLL>]
-T5 指定扫描过程使用的时序,总共有6个级别(0-5),级别越高,扫描速度越快,但也容易被防火墙或IDS检测并屏蔽掉,在网络通讯状况较好的情况下推荐使用T4。
渗透的本质=信息收集?随着实践的次数增多,慢慢发现信息收集的重要性,当掌握的信息越多,目标暴露的弱点也会越多,下一步进攻的突破口越明显。
介绍 1. 什么是Windbg WinDbg是微软发布的一款相当优秀的源码级(source-level)调试工具,可以用于Kernel模式调试和用户模式调试,还可以调试Dump文件。 WinDbg是微软很重要的诊断调试工具: 可以查看源代码、设置断点、查看变量, 查看调用堆栈及内存情况。 Dump文件是进程的内存镜像, 可以把程序的执行状态通过调试器保存到dump文件中 2. Windbg可以解决以下问题 ◆ 内存高 ◆ CPU高 ◆ 程序异常 ◆ 程序Hang死 3. 使用windbg进行调试
使用lsassy可以对远程机器进行自动化的lsass.exe内存dump和解析,利用过程如下:
拿到一台Windows服务器权限,收集各种登录凭证以便扩大战果。本篇分享几个窃取Windows登录凭证的工具和技巧。
CVE-2021-34523:在 Exchange PowerShell 后台的提权漏洞
星期五实验室的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息造成的直接或间接后果和损失,均由使用者本人负责。
在调试软件时,工具非常重要。获取正确的工具,然后再调试时提取正确的信息。根据获取的正确的错误信息,可以找到问题的根源所在。找到问题根源所在,你就能够解决该错误了。
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。
现在CTF方向中的内存取证相关的题目越来越多了,之前也一直没有做过整理(发出了咕咕咕的声音),这几天因为某些原因,得把重点放在取证部分,所以干脆直接在这里做个内存取证方面的知识整理。
领取专属 10元无门槛券
手把手带您无忧上云