首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >绕过卡巴进程保护的一些总结

绕过卡巴进程保护的一些总结

作者头像
Power7089
发布于 2020-07-27 08:20:47
发布于 2020-07-27 08:20:47
2.7K00
代码可运行
举报
运行总次数:0
代码可运行

0x00 前言

前两天朋友去面试极光等一些企业遇到了一些问题记录了下来,问我有没有什么想法。问题是关于域管登录过的域内主机,卡巴之类的杀软保护了 lsass 进程,有哪些方法可以读取域管的明文密码。

想了想那肯定不能直接用 procdump 这种直接去转存,那么该怎么办呢,一时间挺迷茫的。

0x01 方法

1.kill 掉杀软保护的进程

首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字... 提权到 system 也并不能关掉数字的某些进程,所以觉得此处有坑,驱动级的工具应该可以直接搞掉,对症下药吧。

2. 通过蓝屏获取 memory.dmp 绕过卡巴

深夜扒土司扒博客,找到了大佬的文章

通过 Windows 蓝屏文件来绕过 kaspersky 的内存保护抓密码

文章地址:https://www.mrwu.red/web/2000.html

这种可行,虚拟机测试了下,让系统蓝屏的方式有很多种,结束掉一些系统进程就可以了,比如 dcom 服务进程,wininit.exe 进程等。

但是这里还有另外一个问题,开始的时候我转存找不到 lsass。

看土司上大佬的帖子说,系统默认在蓝屏的时候只核心内存转储,需要去 "系统保护"(或者 "高级系统属性")-->"启动和故障恢复"-->"写入调试信息" 中修改为完全内存转储,否则获取到的 dmp 文件中没有 lsass 进程的信息。完事之后还需要再重启。也就说连着蓝屏一次总共重启两次,那么这个时候如果第一次重启,域管没有重新登录,那么又怎么能保证获取到的明文密码中有域管的呢?

这里用管理员权限执行 cmd:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
taskkill /f /im "wininit.exe"

在 C:WindowsMEMORY.DMP 把文件取出到本地。

使用 Windbg(微软的一个调试工具,官网有下载)加载 memory.dmp。

在工具里使用命令行加载 mimikatz 的 mimilib.dll :

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
.load E:\tools\MIMILIB.DLL
# load前有个点

然后设置微软符号服务器,再重新加载:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
.SymFix    # 微软符号服务器.Reload # 重新加载

之后就是查看 lsass.exe 进程的内存地址,切换到 lsass.exe 进程中:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
!process 0 0 lsass.exe
# 查看lsass.exe进程的内存地址
.process /r /p fffffa800e069b00
# 切换到lsass.exe进程

最后运行 mimikatz:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
!mimikatz

不过我在这里失败了,不清楚原因,可能是 MEMORY.DMP 有点小问题。不过这个也是个思路了。

3. 使用 RPC 控制 lsass 加载 SSP

最近一直看到大佬们在提到这个,最开始是 github 一个叫 XPN 的大牛在开源了代码。

https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e

Ateam 大佬发文章用到了这个,按照大佬们的说法就是加载 dump 内存文件的 dll 到 lsass.exe 进程里,让 lsass.exe 自己 dump 出内存文件。

不过我编译时踩坑无数。

各种报错,最后用 VS2019 设置字符集为多字节字符集,并且在头文件加了一个库文件解决了编译问题:

代码语言:javascript
代码运行次数:0
运行
AI代码解释
复制
#pragma comment(lib,"rpcrt4.lib")dll 代码可以直接参考 Ateam 的文章:

0X02 推荐阅读

绕过卡巴斯基抓 lsass 中的密码

文章地址:

https://blog.ateam.qianxin.com/post/zhe-shi-yi-pian-bu-yi-yang-de-zhen-shi-shen-tou-ce-shi-an-li-fen-xi-wen-zhang/#442-

不过 dll 可以做一个改良让其自动获取 lsass 进程的 pid

参考土司大佬和 pony 师傅的方案

使用 RPC 控制 lsass 加载 SSP,实现 DUMP LSASS 绕过杀软

文章地址:

https://www.t00ls.net/thread-55452-1-1.html

Dump lsass

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-06-11,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 程序员阿甘 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
内网渗透-导出HASH的多种方式
在内网渗透中当我们得到一台高权限用户的身份时,就可以抓取到当前机器上的各类密码。虽然任务要求是导出域hash的方式,但在内网渗透中,获取当前机器的hash也有可能获取到域用户的hash,因此这里也分析一下如何获取当前机器的明文密码。
亿人安全
2024/08/13
7810
内网渗透-导出HASH的多种方式
萌新玩转转存储之Lsass.exe&SAM
古语云:"势者,因利而制权也",为了我们可以在攻防演练中拔得头筹,升职加薪,走上人生巅峰。内网信息收集就是绕不过的坎,其中尤以账号密码/哈希为最。
FB客服
2022/11/14
1K0
萌新玩转转存储之Lsass.exe&SAM
干货|Lsass转存储与SAM拷贝技巧
古语云:"势者,因利而制权也",为了我们可以在攻防演练中拔得头筹,升职加薪,走上人生巅峰。内网信息收集就是绕不过的坎,其中尤以账号密码/哈希为最。得此讯息者,进则内网犹入无人之境,于域内七进七出;退则留为后手,救人于危难之间,一招定乾坤。所以,今天我打算收集素材作药,以靶场之火煅烧,求得灵丹妙药。以备攻防演练之不时之需。其中难免存在不足,望师傅斧正,已补不足。
亿人安全
2022/12/23
1.5K0
干货|Lsass转存储与SAM拷贝技巧
内网渗透之内网权限维持
原理:当拿到域控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入域控制器的 lsass.exe 进程,这样会在域内的所有账号中添加一个相同的 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。
红队蓝军
2025/02/12
2260
内网渗透之内网权限维持
关于抓取明文密码的探究
SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)。
红队蓝军
2022/05/17
1K0
关于抓取明文密码的探究
内网渗透之内网权限维持
随着企业信息化程度的加深,内网环境逐渐成为攻击者的关注的重点目标,在内网渗透的过程中权限维持是不可或缺的关键环节之一,它往往决定了攻击者能否在目标系统中长时间潜伏,获取敏感信息或者造成更大范围的破坏。本文旨在深入探讨内网渗透中的权限维持技术,包括其基本概念、常见手段以及防御措施
Al1ex
2024/08/20
4360
内网渗透之内网权限维持
绕过360实现lsass转储
AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。
红队蓝军
2022/05/17
9690
绕过360实现lsass转储
权限维持分析及防御
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章是权限维持分析及防御,分析了常见的针对操作系统后门、Web后门及域后门(白银票据、黄金票据等)的攻击手段,并给出了相应的检测和防范方法
中龙技术
2022/09/29
1.2K0
权限维持分析及防御
VCenter获得锁屏机器Hash之内存快照抓取Hash
在很多情况下,当我们拿到VCenter或ESXI 服务器权限和Web后台权限登录后,发现很多重要的系统锁屏了,想要进入还需要输入密 码。因此,这时我们就需要抓取处于锁屏状态机器的Hash了。以下介绍使用内存快照抓取Hash。
谢公子
2022/11/22
1.5K0
VCenter获得锁屏机器Hash之内存快照抓取Hash
绕过360实现lsass转储
AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。
红队蓝军
2022/04/18
1.2K0
绕过360实现lsass转储
红队技巧-绕过杀软dump-Lsass内存
dump lsass 进程是我们永远都逃不过话题,除非微软那天不用它保存凭据了,自然而然就不dump 它了,抓密码是渗透重要的环节,是横向扩展的基础,接下来讲讲见到如何绕过杀软dump lsass内存。
Gamma实验室
2021/11/19
2.2K0
红队技巧-绕过杀软dump-Lsass内存
Lsass memory dump
lsass是windows中处理本地安全和登录策略的重要进程,几乎所有的windows身份认证程序都离不开lsass进程。因此在lsass的内存中会保存用户相关的凭证。它是windows主机中认证的重要组成部分,因此获取lsass内存也是MITRE ATT&CK框架中Credential Access战术下的重要技术点。
JDArmy
2022/11/14
2.3K0
Lsass memory dump
Protected Process Light (PPL) Attack
首先,PPL表示Protected Process Light,但在此之前,只有Protected Processes。受保护进程的概念是随Windows Vista / Server 2008引入的,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并遵守DRM(数字版权管理)要求。Microsoft 开发了这种机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是镜像文件(即可执行文件)必须使用特殊的 Windows Media 证书进行数字签名(如Windows Internals的“受保护的进程”部分中所述
黑白天安全
2022/05/31
2.2K0
Protected Process Light (PPL) Attack
凭据收集总结
本来按计划应该学习横向移动,但是发现一个问题,如何横向?这就是我记录这一章的目的,提升权限之后获取凭证,利用已获取的凭证扩大战果才是正确的姿势,学习的主要资料是参考链接中的分享,建议阅读参考的原文,再次说明,我的只是笔记,记录我的学习过程中的所思所想。
重生信息安全
2020/07/07
6.5K0
凭据收集总结
红队技巧-导出凭据和密码
红队中各种抓取密码凭据的方法,文末彩蛋,内附工具链接,以及我制作的过360的minikatz的版本,各位请享用,最近筹备重新开blog,记录学习计划,不然知识我学完立马就忘了,与大家一起学习!
Gamma实验室
2021/03/10
2.5K0
红队技巧-导出凭据和密码
内网渗透基石篇—权限维持分析
DSRM(目录服务恢复模式,目录服务恢复模式)是Windows域环境中域控制器的安全模式启动选项。每个域控制器占用一个本地账户账户(也就是DSRM账户)。DSRM的用途是:允许管理员在域环境中出现故障或崩溃时还原、修复、重建活动目录数据库,使环境的运行恢复正常。修改方法。修改DSRM密码的基本原理是在DC上运行ntdsutil命令行工具。在渗透测试中,可以使用DSRM域对域环境进行持久化操作。如果域控制器的系统版本为Windows Server 2008,需要安装KB961320才可以使用指定域账号的密码对DSRM的密码进行同步。在Windows Server 2008以后版本的系统中无需安装此补丁方法。如果域控制器的系统版本为Windows Server 2003则不能进行使用我们知道,域控制器本地管理员和密码(与管理员账号和密码不同)。DSRM 帐号可以作为一个域控制器的本地管理品用户,通过网络连接控制器,驯服控制域控制器。
FB客服
2021/08/24
1.5K0
Windows系统安全|Windows中获取用户密码
Windows系统使用两种方法对用户的密码进行哈希处理,它们分别是 LAN Manager(LM)哈希和 NT LAN Manager(NTLM)哈希。所谓哈希(hash),就是使用一种加密函数对其进行加密。这个加密函数对一个任意长度的字符串数据进行一次数学加密函数运算,然后返回一个固定长度的字符串。
谢公子
2022/01/19
3.1K0
Windows系统安全|Windows中获取用户密码
【权限维持】域控后门&SSP&HOOK&DSRM&SID&万能钥匙
C:\Windows\System32\mimilsa.log 记录登录的账号密码 这里切换一下用户查看mimilsa.log文件
没事就要多学习
2024/07/18
1930
【权限维持】域控后门&SSP&HOOK&DSRM&SID&万能钥匙
Boot or Logon Autostart Execution: Authentication Package
Boot or Logon Autostart Execution: Authentication PackageHKLM\SYSTEM\CurrentControlSet\Control\Lsa\"Authentication Packages"=<target binary>SSP维持域控权限1.privilege::debugmisc::memsspC:\Windows\System32:mimilsa.log重启后失效2.注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon
浪子云
2022/06/29
3040
内网渗透|域内持久权限维持总结
SSPI 将负责为想要通信的两台机器找到合适的协议。对此的首选方法是 Kerberos。然后 SSPI 将协商将使用哪种身份验证协议,这些身份验证协议称为安全支持提供程序 (SSP),以 DLL 的形式位于每台 Windows 机器内部,并且两台机器必须支持相同才能进行通信。
HACK学习
2021/08/13
8700
相关推荐
内网渗透-导出HASH的多种方式
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档