绕过卡巴斯基抓lsass中的密码

0x01 方法

1.kill 掉杀软保护的进程

首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字... 提权到 system 也并不能关掉数字的某些进程,所以觉得此处有坑,对症下药吧。

2. 通过蓝屏获取 memory.dmp 绕过卡巴

深夜趴土司趴博客,找到了大佬的文章通过 Windows 蓝屏文件来绕过 kaspersky 的内存保护抓密码

这种可行,虚拟机测试了下,让系统蓝屏的方式有很多种,结束掉一些系统进程就可以了,比如 dcom 服务进程,wininit.exe 进程等。

但是这里还有另外一个问题,开始的时候我转存找不到 lsass。看土司上大佬的帖子说,系统默认在蓝屏的时候只核心内存转储,需要去 "系统保护"(或者 "高级系统属性")-->"启动和故障恢复"-->"写入调试信息" 中修改为完全内存转储,否则获取到的 dmp 文件中没有 lsass 进程的信息。完事之后还需要再重启。也就说连着蓝屏一次总共重启两次,那么这个时候如果第一次重启,域管没有重新登录,那么又怎么能保证获取到的明文密码中有域管的呢?

image-20200319212927345.png

这里用管理员权限执行 cmd:

taskkill /f /im "wininit.exe"
image-20200319184615285.png

C:WindowsMEMORY.DMP 把文件取出到本地。

image-20200319185628130.png

使用 Windbg(微软的一个调试工具,官网有下载)加载 memory.dmp

image-20200319203312257.png

在工具里使用命令行加载 mimikatzmimilib.dll

.load E:\tools\MIMILIB.DLL
# load前有个点
image-20200319203833586.png

然后设置微软符号服务器,再重新加载:

.SymFix    # 微软符号服务器

.Reload # 重新加载

image-20200319204530650.png

之后就是查看 lsass.exe 进程的内存地址,切换到 lsass.exe 进程中:

!process 0 0 lsass.exe
# 查看lsass.exe进程的内存地址
.process /r /p fffffa800e069b00
# 切换到lsass.exe进程

最后运行 mimikatz:

!mimikatz

不过我在这里失败了,不清楚原因,可能是 MEMORY.DMP 有点小问题。不过这个也是个思路了。

3. 使用 RPC 控制 lsass 加载 SSP

最近一直看到大佬们在提到这个,最开始是 github 一个叫 XPN 的大牛在开源了代码。

https://gist.github.com/xpn/c7f6d15bf15750eae3ec349e7ec2380e

Ateam 大佬发文章用到了这个,按照大佬们的说法就是加载 dump 内存文件的 dll 到 lsass.exe 进程里,让 lsass.exe 自己 dump 出内存文件。

不过我编译时踩坑无数。

各种报错,最后用 VS2019 设置字符集为多字节字符集,并且在头文件加了一个库文件解决了编译问题:

#pragma comment(lib,"rpcrt4.lib")

dll 代码可以直接参考 Ateam 的文章:

绕过卡巴斯基抓 lsass 中的密码

不过 dll 可以做一个改良让其自动获取 lsass 进程的 pid。

参考土司大佬和 pony 师傅的方案。

使用 RPC 控制 lsass 加载 SSP,实现 DUMP LSASS 绕过杀软

dump lsass

绕过卡巴斯基dump进程lsass.exe内存

原文链接:关于绕过卡巴进程保护的一些总结

你可能感兴趣的:(绕过卡巴斯基抓lsass中的密码)