0x01 方法
1.kill 掉杀软保护的进程
首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字... 提权到 system 也并不能关掉数字的某些进程,所以觉得此处有坑,对症下药吧。
2. 通过蓝屏获取 memory.dmp 绕过卡巴
深夜趴土司趴博客,找到了大佬的文章通过 Windows 蓝屏文件来绕过 kaspersky 的内存保护抓密码
这种可行,虚拟机测试了下,让系统蓝屏的方式有很多种,结束掉一些系统进程就可以了,比如 dcom 服务进程,wininit.exe 进程等。
但是这里还有另外一个问题,开始的时候我转存找不到 lsass。看土司上大佬的帖子说,系统默认在蓝屏的时候只核心内存转储,需要去 "系统保护"(或者 "高级系统属性")-->"启动和故障恢复"-->"写入调试信息" 中修改为完全内存转储,否则获取到的 dmp 文件中没有 lsass 进程的信息。完事之后还需要再重启。也就说连着蓝屏一次总共重启两次,那么这个时候如果第一次重启,域管没有重新登录,那么又怎么能保证获取到的明文密码中有域管的呢?
image-20200319212927345.png
这里用管理员权限执行 cmd:
taskkill /f /im "wininit.exe"
image-20200319184615285.png
在 C:WindowsMEMORY.DMP 把文件取出到本地。
image-20200319185628130.png
使用 Windbg(微软的一个调试工具,官网有下载)加载 memory.dmp。
image-20200319203312257.png
在工具里使用命令行加载 mimikatz 的 mimilib.dll :
.load E:toolsMIMILIB.DLL
# load前有个点
image-20200319203833586.png
然后设置微软符号服务器,再重新加载:
.SymFix # 微软符号服务器
.Reload # 重新加载
image-20200319204530650.png
之后就是查看 lsass.exe 进程的内存地址,切换到 lsass.exe 进程中:
!process 0 0 lsass.exe
# 查看lsass.exe进程的内存地址
.process /r /p fffffa800e069b00
# 切换到lsass.exe进程
最后运行 mimikatz:
!mimikatz
不过我在这里失败了,不清楚原因,可能是 MEMORY.DMP 有点小问题。不过这个也是个思路了。
3. 使用 RPC 控制 lsass 加载 SSP
最近一直看到大佬们在提到这个,最开始是 github 一个叫 XPN 的大牛在开源了代码。
https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e
Ateam 大佬发文章用到了这个,按照大佬们的说法就是加载 dump 内存文件的 dll 到 lsass.exe 进程里,让 lsass.exe 自己 dump 出内存文件。
不过我编译时踩坑无数。
各种报错,最后用 VS2019 设置字符集为多字节字符集,并且在头文件加了一个库文件解决了编译问题:
#pragma comment(lib,"rpcrt4.lib")
dll 代码可以直接参考 Ateam 的文章:
绕过卡巴斯基抓 lsass 中的密码
不过 dll 可以做一个改良让其自动获取 lsass 进程的 pid。
参考土司大佬和 pony 师傅的方案。
使用 RPC 控制 lsass 加载 SSP,实现 DUMP LSASS 绕过杀软
dump lsass
绕过卡巴斯基dump进程lsass.exe内存
原文链接:关于绕过卡巴进程保护的一些总结
绕过卡巴斯基抓lsass中的密码的文档提供了一种思路,即使用RPC控制lsass加载SSP,通过加载内存dump文件的DLL到lsass.exe进程中,从而使lsass.exe自身dump出内存文件。这篇文章提供了与此相关的代码和编译相关的问题解决方法。
Comments | NOTHING