正文

内网密码抓取之dump lsass

admin
admin V管理员 /0 评论 /8 阅读
1124
文章最后更新时间2024年11月24日,若文章内容或图片失效,请留言反馈!
 简介
1.教程为小白快速入门的教程,我会以实战跟测试DEMO为主。
以及容易理解的方式来讲这个课程。像漏洞发生 黑白盒、漏洞修复、漏洞demo实验。
手动转储(dump lsass手动转储的方法)
什么是dump lsass。在渗透测试中,当拿下一台windows的PC机/服务器/终端时,想要后续操作或横向移动必定是需要更多的凭证,而lsass.exe(本地安全机构子系统服务)进程储存了其windows登陆系统的用户名和密码,因此我们只需转储lsass进程的内存,方可获得想要的东西。
打开任务管理器->点击详细信息->找到lsass.exe->右键创建转储文件->默认生成到temp目录
结合mimikatz解密
lsass.DMP导出后,我们结合mimikatz进行获取密码 mimikatz.exe "sekurlsa::minidump lsass.DMP" "sekurlsa::logonPasswords full" exit
一些坑点的处理-文件名填写错误
实验过程中不可能是一帆风顺的,多少会碰到一些坑点,在执行完命令,
报错 ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000002)这个错误时,
多半是因为lsass.dmp的文件名填写错误,我们只需修改为正确的文件名即可
手动转储的缺陷
手动转储虽然快捷方便,但我们在实际渗透过程中,很多时候都是webshell,或者命令行的shell,且就算可以连对方的3389,其风险系数也是加大了的,从而我们需要编写工具,把转储的过程自动化
转储代码(dump lsass转储代码分析)
代码编写思路
1.编写代码,首先我们要了解我们需要做什么,需要做的事情编写不同的函数/使用现有的函数
2.首先我们手动转储过程中,要找到lsass.exe的进程(第一个需求找到lsass.exe进程号)
3.其次我们需要对lsass.exe进行转储操作(第二个需求转储lsass.exe文件)
4.接着我们需要将转储的文件写入到硬盘落地,来保存出来转储的lsass.dmp(第三个需求5.需要进行写文件操作)

核心函数-windows api

核心函数均为:OpenProcessToken  打开进程令牌LookupPrivilegeValue 检索suid 开启调试其他进程的权限AdjustTokenPrivileges 启用访问令牌特权CreateToolhelp32Snapshot 获取当前进程快照 返回当前进程快照的打开句柄Process32First  查找系统快照第一个进程Process32Next 查找下一个系统快照下一个进程OpenProcess 获取指定进程的句柄open 操控文件的函数MiniDumpWriteDump 将转储信息写入文件

采用编写语言-nim

nim采有天然的相对免杀效果,小众语言的特征更不容易不查杀,如果不熟悉这个语言的,用其他熟悉的编程语言,调用对应的函数即可,c/c++,golang甚至python都可以做到,只是各自的免杀效果,各有差异

nim下载地址以及学习地址

下载地址

https://nim-lang.org/学习地址https://www.bilibili.com/video/BV1Uh411Z7Cj/?spm_id_from=333.337.search-card.all.clickhttps://github.com/ScxMes/Core-Nim-programming文档https://khchen.github.io/winim/winim.html

nim主函数  EnableDebugPriv先检查是否有调试权限

nim主函数  get_lsass_pid来获取lsass.exe的pid号

nim主函数  get_lsass_pid具体实现

nim主函数  获取到pid后使用OpenProcess打开句柄

nim主函数  open函数打开文件,MiniDumpWriteDump转储到打开的文件

nim c -d:release,进行编译操作

成功生成

配合mimikatz解密成功

明文绕过(特定情况无法抓取明文的绕过)

在以下场景的情况下,是不能直接抓到明文密码的

系统为win10或2012以上时Wdigest内存中禁止保存明文密码

当前场景我们是无法抓到系统的明文的

对这种场景我们可以先尝试对其NTML hash进行解密尝试

解密网站https://cmd5.com/https://www.somd5.com/

使用修改注册表的形式,让我们可以抓到明文

修改注册表打开(允许保存):reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 1 /f关闭(禁用保存):reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
锁屏/注销

 在我们修改完明文后,还需要等待用户锁屏/注销才能抓取明文,再等待用户重新登录锁屏的命令

Rundll32.exe user32.dllLockWorkStation

不过在有些场景下锁屏也抓取不了,这个时候只能等待用户注销了,可以使用quser命令查看用户在线状态,然后再看他最近有没有重新登录

配合mimikatz解密成功

杀软绕过(特定情况遇到杀毒软件的绕过)
如何判断被杀
1.dump lsass技术已经流传了很久了,杀软公司也开始重视起来,所以他们会针对dump lsass进行一定程度的查杀
2.静态查杀:get_lsass.exe放上去就被杀了
3.动态查杀:get_lsass.exe执行后被杀了,或者导不出lsass.dmp文件
4.因为我们的get_lsass是自己编写,相对是不会被静态查杀出来,因为代码里没有很恶意的特征,所以我们重点关注动态查杀即可

def监控导出的lsass文件

可以看到我们的lsass dump的文件已经被检测出来了,因为def会对内容进行扫描,所以我们可以导出一个他不认识的lsass.dmp即可绕过
对lsass.dmp导出的文件进行了加密操作的工具

采用CallBackDump项目,对其导出的过程中,对内容进行了加密操作

加密导出

成功导出加密的文件,因为他代码里添加了条件选择执行参数,所以这里加个to参数

进行解密还原操作

再配合解密

配合mimikatz解密成功

视频地址:https://www.bilibili.com/video/BV158411F7CY

添加微信:lingtoor

欢迎关注,长期免费公开课。

欢迎添加投稿咨询。稿费100-1500元


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com