想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟
0x01 利用dll文件转储lsass进程
0x02 利用procdump工具转储lsass进程
0x01 lsass转储文件dumphash
这里火绒开着,报错,转储lsass的文件无法生成,360的话有rundll32直接报毒了。
然后这里,绕过rundll32的方式有两种,一种的话可以尝试去修改它的md5值,第二种方式的话就是去尝试白加黑的方式来运行dll文件(白加黑可以参考之前文章:【免杀】白加黑免杀-轻松过火绒、360、Defender)
这里使用第一种方式去修改rundll32.exe的md5值
然后再尝试转储lsass
![【免杀】DumpHash如何躲避杀软?]( "【免杀】DumpHash如何躲避杀软?")
![【免杀】DumpHash如何躲避杀软?]( "【免杀】DumpHash如何躲避杀软?")
这里杀软检测的话,火绒和Defender能过,但360报毒
功能检测:这里放到主机上成功dumphash。
0x02 利用procdump工具转储lsass进程
Mimikatz它抓取密码的原理其实就是从lsass.exe中提取明文密码,但是目前各大杀软对于mimikatz的检测很严格,即便过了静态的免杀,也还要考虑如何绕过杀软去抓取hash,在这期间需要花费大量的时间去测试,成本高效率低。
因此针对这种情况,可以考虑使用procdump工具把系统的lsass.exe进程进行转储,导出dmp文件,然后在我们自己的电脑上,使用mimikatz进行读取。
测试导出的mm.dmp杀软效果:
目录
Mimikatz 是一款法国人开发的轻量级的调试工具,通过它可以提升一个进程的权限、读取进程内存等,它最大的特点就是可以直接从 lsass.exe 进程中获取当前登录系统用户名和密码。
在内网渗透过程中应用非常广,属于内网渗透必备工具之一,被很多人称之为密码抓取神器。Mimikatz除了抓取密码外,还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等,功能非常强大。
但是使用该工具的前提是需要绕过杀软,目前网上给出的免杀方式大部分已经行不通了,效果最好的就是直接更改mimikatz的源码,这里需要花费大量时间。
Mimikatz的dump hash功能主要依赖于Windows API的Minidump,因此这里还有一种方式就是将lsass里面的内容转储到其他文件里面,再将文件放到本地使用mimikatz来dumphash。
具体实现思路:(源码公众号内获得)
-
提升访问lsass.exe进程内存的权限
-
获取lsass.exe进程的pid值
-
创建文件来存储lsass.exe进程内存里面的内容
然后将生成的dll文件(我这里文件名:323.dll),放到目标主机上运行,拿到转储lsass进程的文件
rundll32.exe 323.dll dllmain
sekurlsa::minidump test.logsekurlsa::logonpasswords full
ProcDump.exe -accepteula -ma lsass.exe mm.dmp
这里火绒和Defender都能够过,但是360报毒了
接着测试导出的mm.dmp能否进行dumphash的功能
sekurlsa::minidump mm.dmpsekurlsa::logonPasswords full
在本机上使用mimikatz,是可以dumphash的
下载
链接:https://pan.baidu.com/s/1KtJ3rwnA_Wf_t69pJf4K_A?pwd=9437 提取码:9437
原文始发于微信公众号(赤鸢安全):【免杀】DumpHash如何躲避杀软?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论