绕过LSA保护

2021年12月17日10:36:22评论292 views字数 1004阅读3分20秒阅读模式

一位苦于信息安全的萌新小白帽

本实验仅用于信息防御教学，切勿用于它用途

公众号：XG小刚

继续补补笔记

LSA保护

微软在 Windows 8.1、Windows Server 2012 R2添加了 LSA 保护策略

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn408187(v=ws.11)

以防止不受保护的进程对 lsass.exe 读取内存和代码注入。

这样一搞我们就不是用 mimikatz 对 lsass.exe 进行注入，获取密码等操作也会失败。

开启LAS保护

微软官方说了，进行以下操作就可以启用LSA保护

我们先看看主机有没有开启LSA进程保护

reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA

添加RunAsPPL键值为1，重启后就开启了LSA保护

reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA /v RunAsPPL /t REG_DWORD /d 1 /f

这时即使我们获取了debug权限，也不能获取明文密码和hash了

此时使用mimikatz，进行注入lsass进程是失败的

尝试经常用的procdump把lsass进程给弄下来

发现不行了?这可咋整

接下来该咋办？

第一种方式就是将上面提到的注册表RunAsPPL键值对给删了

reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA /v RunAsPPL /f

但是想让配置生效需要重启主机，现实情景下你咋重启，这不暴露了吗？

还一种方式那就是mimikatz ，早早mimikatz就已经支持了LSA保护绕过

它自带一个mimidrv.sys文件，这文件具体干嘛的我也不知道，第一次用

登上mimikatz，获取debug权限

将mimidrv.sys驱动加载进去，使用该驱动绕过lsa保护

privilege::debug!+!processprotect /process:lsass.exe /remove

这时再尝试发现绕过了lsa保护，可以正常注入ssp和读取密码了

再尝试procdump转储lsass进程

成功

本文始发于微信公众号（XG小刚）：绕过LSA保护

面试经验分享 | 某工控安全厂商安全研究员