Dumping LSASS Like it’s 2019 免责声明:本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干扰您不拥有或...
Doppelganger:一个基于进程克隆的高级 LSASS 内存转储工具
【翻译】Doppelganger An Advanced LSASS Dumper with Process Cloning – YLabs 免责声明:本博客文章仅用于教育和研究目的。提供的所有技术和...
Pass-the-Challenge 击败 Windows Defender Credential Guard
【翻译】Pass-the-Challenge Defeating Windows Defender Credential Guard 在本篇博客中,我们介绍了从受 Windows Defender C...
在 Windows 11 24H2 中提取操作系统账户哈希
【翻译】Dump Hashes in Windows 11 24H2 免责声明:本博客文章仅用于教育和研究目的。提供的所有技术和代码示例旨在帮助防御者理解攻击手法并提高安全态势。请勿使用此信息访问或干...
内网渗透工具mimikatz
点击蓝字关注我们始于理论,源于实践,终于实战老付话安全,每天一点点激情永无限,进步看得见严正声明本号所写文章方法和工具只用于学习和交流,严禁使用文章所述内容中的方法未经许可的情况下对生产系统进行方法验...
杀软环境下的dumplsass工具-LuckyDump分享
前言由于最近攻防项目的强度提升,发现之前的一些dumplsass手段在最近遇到的edr和杀软上直接被秒,而窃取凭据又是内网渗透最重要的一点,自己也就去学习了一些bypass的手段,然后就有了这款参考s...
Hook 神威:绕过 EDR 内存保护
Hook 神威:绕过 EDR 内存保护引言在最近一次内部渗透测试中,我遇到了一款 EDR 产品(这里不方便透露具体名称)。这款产品严重阻碍了我访问 lsass 内存的能力,导致我无法使用我们自定义版本...
使用 Python 转储凭证:自动化 LSASS 访问和凭证提取后利用
红队成员重视 LSASS,因为它实际上掌握着王国的钥匙。Windows 的本地安全机构子系统服务 (LSASS) 强制执行身份验证,并将所有活动用户凭据(密码、NT/LM 哈希、Kerberos 票证...
通过编辑注册表项值将 DLL 加载到 lsass.exe 中
在启动时将 DLL 加载到 LSASS 中,提供持久性。如何?我们发现 Lsass.exe 在启动时会读取两个注册表项,以便从System32目录中加载 DLL。这两个注册表项分别是:延伸HKEY_L...
LetMeowIn - 凭证转储程序分析
从 LSASS 转储凭证并非新鲜事,多年来一直是攻击性和犯罪分子手法的一部分。LetMeowIn 的核心是使用 dbghelp.dll 中的 MiniDumpWriteDump 函数创建 LSASS ...
Doppelganger项目 - 模仿灵魂,不留痕迹
Doppelganger 是一款神秘的工具,旨在模拟 LSASS,提取其机密信息,并将其隐藏于众目睽睽之下。它以 HollowReaper 的禁忌之术为基础,利用挖空进程、内核漏洞和光谱克隆来绕过保护...
【免杀工具】红队魔法书-LSASS转储
🛡️ 使用被诅咒的 RTCore64.sys 驱动程序 (BYOVD) 禁用 PPL🧬 将 LSASS 克隆到良性副本中💾 从克隆创建小型转储🗝️ 对转储进行 XOR 加密并将其写入磁盘,只留下一个影...