在本系列的上一篇文章中,我介绍了操作的概念,并演示了每个操作如何具有支撑它的函数调用图。在那篇博文中,我特意展示了相对于我的知识而言不完整的函数调用图,因为我只想展示明显基于我们通过 mimikatz...
内网知识体系之远程凭据获取
当我们拿到服务器权限时,往往会更深层次的渗透,在建立据点的时候,往往会分析到底是横向还是纵向,在开始之前会进行一些信息收集,使用procdump+mimikatz可以一步到位的获取到远程链接凭证。 1...
结合使用 MiniDumpWriteDump、Donut 和进程注入技术来逃避 Windows Defender 检测
在当今的环境中,Mimikatz(一种凭据转储工具)可以被每个 Windows Defender 防病毒软件和 EDR 检测到。这就是为什么某些威胁行为者选择使用 Minidump 等工具而不是 Mi...
读取本地安全机构子系统服务 (LSASS) 的 PID 的 14 种方法
介绍在注入 shellcode 或转储内存之前,进程枚举是必需的。威胁参与者倾向于将 CreateToolhelp32Snapshot 与 Process32First 和 Process32Next...
威胁检测与搜寻建模8.同义与相似性
威胁检测与搜寻建模1.了解函数调用堆栈威胁检测与搜寻建模2.通过Mimikatz源代码审查发现 API 函数使用情况威胁检测与搜寻建模3.基于Mimikatz重点分析函数正在执行的操作威胁检测与搜寻建...
绕过Elastic EDR提高你的隐身能力
第1部分在最近的一次评估中,我和我的队友的任务是对多个应用程序进行网络安全审查,如果有机会,还可以进行内部渗透测试。在其中一个应用程序上,我们成功上传了一个执行Windows cmd的aspx web...
【网络安全】内网渗透之PTH攻击
2023-11-13 pwjcwPTH(哈希传递)攻击简介PTH攻击是内网横向移动的一个常用手段。原理pth攻击是基于NTLM协议的,参考NTLM协议的认证流程,在质询阶段,服务器生成一个随机数用用户...
windows lsass转储总结
前言lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问L...
九维团队-红队(突破)| 通过进程注入方法绕过杀软测试
简 介 本文介绍了一种通过进程注入实现强制关闭部分杀软进程的方法(文中以某安全卫士和某杀毒软件为例),实现过程使用了thread-hijacking等技术。 ...
绕过Credential Guard 读取明文凭据
Tips +1 前言 Windows 10 之前,Lsass 将操作系统所使用的密码存储在其进程内存中 当我们获取到机器权限后,经常使用Mimikatz在机器上获取各种凭证,包括明文密码,NTLM哈希...
【权限维持技术】初探Windows系统进程lsass
免责声明本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者及本公众号不为此承担任何责任。lsass简介lsass.exe(Local Se...
Procdump 导出密码
procdump 是微软官方的一款用于调试的工具, 其用途是导出本地进程的内存文件. lsass.exe 本地安全权限服务, 通过导出 lass.exe 的内存文件配合 mimikatz 可读取用户 ...
11