特技转储TrickDump 转储 lsass 进程而不创建 Minidump 文件,而是生成 3 个 JSON 和 1 个包含内存区域转储的 ZIP 文件。分为三步:锁定:使用 RtlGetVersi...
利用 WindowsApp createdump 工具获取 lsass 转储
该项目演示了如何使用createdump.exe工具(Microsoft 签名的可执行文件)从 Windows 应用程序中转储 LSASS 进程,利用自定义挂钩来启用进程访问LSASS。Get-Aut...
TrickDump免杀dump-lsass内存
TrickDump 允许转储 lsass 进程而不生成 Minidump 文件,而是生成三个 JSON 文件和一个包含内存区域转储的 zip 文件。磁盘、内存或网络流量中永远不存在有效的 Minidu...
不使用 Mimikatz 转储 Lsass 的两种方法
本地安全机构子系统服务(或更广为人知的 LSASS)是 Windows 服务器的核心软件之一。它负责在系统上执行安全策略。它验证连接到 Windows 计算机或服务器的用户、处理密码更改并创建访问令牌...
从 Linux 远程转储 LSASS
有很多方法可以创建 lsass.exe 转储来收集凭据,但如果我们想在 Linux 机器上舒适地执行此操作,该怎么办?以下是一些工具,可以让我们做到这一点。LSASS 到目前为止,更好、最完整的远程 ...
Dumpy:一款针对LSASS数据的动态内存取证工具
关于DumpyDumpy是一款针对LSASS数据的动态内存取证工具,该工具专为红队和蓝队研究人员设计,支持重新使用打开的句柄来动态转储 LSASS。运行机制Dumpy可以动态调用 MiniDumpWr...
内网渗透-导出HASH的多种方式
原文首发在:奇安信攻防社区https://forum.butian.net/share/3653在内网渗透中当我们得到一台高权限用户的身份时,就可以抓取到当前机器上的各类密码。虽然任务要求是导出域ha...
驱动绕过ppl保护dump lsass
介绍有关ZwOpenProcess函数介绍参考连接:ZwOpenProcess 函数 (ntddk.h) - Windows drivers | Microsoft Learn直观一些可以参考chat...
绕过 defender、360 导出 Lsass.exe 内存工具
免责声明 锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使...
监控 Cobalt Strike 信标以获取 Windows 令牌并获得 Kerberos 持久性
在最近的一次攻击中,我和我的队友攻陷了一台 Windows 服务器,一些高权限用户正在连接该服务器。我们不想冒险提取凭证,lsass.exe因为 EDR 会检测到我们,所以我们决定滥用 Windows...
最新Lsass转储工具-NativeDump
项目介绍 NativeDump允许只使用NTAPIs来转储lsass进程,生成一个小型转储文件,其中只包含需要由Mimikatz或Pypykatz等工具解析的流(SystemInfo、ModuleLi...
转储 lsass - NativeDump
NativeDump 允许仅使用 NTAPI 转储 lsass 进程,生成一个 Minidump 文件,其中仅包含需要由 Mimikatz 或 Pypykatz 等工具解析的流(SystemInfo、...
14