lsass

冷硬缓存——利用缓存滥用绕过 RPC 接口安全

Lsass?RPC。COM?RPC。甚至一些针对域控制器的域操作也使用RPC。鉴于MS-RPC已经变得如此普遍,您可以预料到它已经受到严格的审查、记录和研究。其实不然。
红云谈安全·2024-08-27 20:01

NTLM||LM算法&&lsass&&winlogon进程

来填坑了,这篇blog我们就来讲一下mimikatz能抓到开机的密码的原理1.lsass&&winlogon不知道大家有没有好奇过,我们每次开机输入密码之后,电脑又怎么知道我们是否输入正确呢?
[email protected]·2024-02-14 07:13

获取域控的方法

在域渗透中、作为渗透测试人员,获取域控的权限基本上可以获取整个内网的权限1.高权限读取本地密码当域管理员在域成员机器上登录进行工作的时候,会将明文密码保存在本地进行的lsass.exe,可以通过mimikatz
廾匸0705·2024-01-20 18:45

电子取证中Chrome各版本解密Cookies、LoginData账号密码、历史记录

文章目录1.前置知识点2.对于80.X以前版本的解密拿masterkey的几种方法方法一直接在目标机器运行Mimikatz提取方法二转储lsass.exe进程从内存提取masterkey方法三导出SAM
是toto·2023-12-14 14:14

Windows中的用户帐户与组账户

文件路径:C:\Windows\System32\config\SAM,对应的进程:lsass.exe。通过本地用户和组,可以为用户和组分配权利和权限,从而限制用户和组执行某些操作的能力。
夜未至·2023-10-08 07:56

windows10下破解开机密码

准备工具:一台windows10测试机mimikatz(猕猴桃破解工具)1.破解win10下当前账户的密码原理是从内存中破解打开任务管理器详细信息->按ls找到名为lsass.exe的进程右键输入lsass
cislandxor·2023-09-17 05:14

ProcDump+Mimikatz绕过杀毒软件抓密码

答案是肯定的,那就是ProcDump+Mimikatz绕过杀毒软件抓密码1、原理Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mim
Xuno_·2023-09-13 02:33

利用procdump+Mimikatz 绕过杀软获取Windows明文密码(转)

但是你如果觉得还要考虑杀毒软件,绑定payload之类的东西太过复杂,我们可以有更好的办法,只需要在自己的电脑上运行Mimikatzalpha(地址)版本,然后处理dump的LSASS进程内存文件就行!
weixin_30466039·2023-09-13 02:02

内网渗透作业2(mimikatz、pwdump/procdump/LaZagne/nmap)

出众之处在于其可以直接从lsass.exe里猎取windows处于
热热的雨夜·2023-09-13 02:31

几种姿势运行mimikatz

Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM哈希值的神器,内网渗透中常用mimikatz获取明文密码或者获取hash值来漫游内网。
小晓晓晓林·2023-09-13 02:29

利用procdump+Mimikatz绕过杀软获取Windows明文密码

利用procdump+Mimikatz绕过杀软获取Windows明文密码1.原理2.实操部分1.原理Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mimikatz时,我们可使用
世界尽头与你·2023-09-13 02:57

mimikatz免杀过360和火绒

mimikatzmimikatz是一款能够从Windows认证(LSASS)的进程中获取内存,并且获取名闻密码和NTLM哈希值的工具,攻击者可以利用这种功能漫游内网。
zxl2605·2023-08-30 23:50

绕过卡巴DUMP LSASS内存

感觉最近被问的最多的一个问题就是在内网横向移动的过程中怎么绕过一些杀毒软件(比如卡巴斯基)来获取LSASS进程里面用户的一些密码哈希值,下面就介绍一种最简单的方法。
vul404·2023-08-25 11:28

青少年CTF_misc部分题解

19sanity签到caesar三体从尾看到头原sher表情包西安加油欢迎tcp流量分析应急食品Flag走失了罗小黑的秘密Can_You_Find_MeGameAttackwireshark导出HTTP,发现lsass.dmp
Element_南笙·2023-08-06 16:40

20221208AD域控服务器问题解决记录--lsass.exe上传流量异常

前序最近在昌平对DB做AD域控的计划,在落实这个计划的过程中,碰到一些问题,解决问题后,记录一下过程和事后的感受。出现在落实域控的过程中,由于技术部门的资产中,有一部分在云上,一部分在本地机房,为了实现统一的LDAP管理,通过一些标准的AD域控接口和插件来实现登陆时的账户和密码验证。于是,在本地防火墙上,对域控服务器AD1的389端口做了外网映射,以便云端通过这个端口来进行AD验证。在一两天后,每
峰沙同行·2023-07-21 08:24

wmic命令学习

wmicprocessgetname,processid,executablepath查询主机进程信息,并过滤出进程的路径、名称和PIDwmicprocesswherename="lsass.exe"getexec
shy014·2023-04-17 00:16

内网渗透-横向移动 二

docs.microsoft.com/zh-cn/sysinternals/downloads/procdump把工具移动到内网主机上执行procdump-accepteula-malsass.exelsass.dmp就会生成lsass.dmp
Admin3K·2023-04-10 11:31

导出windows密码技巧总结

一、使用RPC控制lsass加载SSP,实现DUMPLSASS绕过杀软1.已编译好的ssp.dll(建议自己编译)spp.dll需要修改为完整的绝对路径,测试环境是win2012管理员权限,提取的文件在
渗透测试中心·2023-04-07 06:46

域权限维持(万能密码与SID History滥用)

SIDHistory滥用简介SIDHistory属性滥用(域控利用)SIDHistory属性滥用(krbtgt利用)总结SkeletonKey(万能密码)介绍在获得了域管理员或企业管理员的情况下可以在目标域控的Lsass
虚构之人·2023-03-29 12:05

绕过卡巴斯基抓lsass中的密码

0x01方法1.kill掉杀软保护的进程首先想到的就是关掉杀软的进程,但是肯定要高权限,但是之前尝试内网渗透时遇到了某数字...提权到system也并不能关掉数字的某些进程,所以觉得此处有坑,对症下药吧。2.通过蓝屏获取memory.dmp绕过卡巴深夜趴土司趴博客,找到了大佬的文章通过Windows蓝屏文件来绕过kaspersky的内存保护抓密码这种可行,虚拟机测试了下,让系统蓝屏的方式有很多种,
ADLAB·2023-01-31 22:00

系统安全与内容安全(二)(复习用)

Windows系统安全机制:Windows操作系统涉及安全性管理的核心组件有:Winlogon、SRM和LsassWinlogon和Lsass是两个用户模式进程,SRM是Windows内核执行体中的组件
DYSLEXIA-·2023-01-04 18:48

内网渗透Windows密码凭证获取

凭证信息的一些工具Windows凭证抓取1,procdump(官方工具无视免杀)(首选)procdump+mimikatz加载dmp文件,并导出其中的明文密码(procdump过杀软)管理员运行工具,导出为lsass.dump
西湖第一剑·2022-12-21 08:16

windows认证&密码抓取

NTMLHashwindows本地认证windows网络认证NTMLv1与v2二、域部分kerbero协议白银票据黄金票据windows密码导出lsass进程抓取mimikatz直接操作lsass进程procdump
天问_Herbert555·2022-12-21 08:15

mimikatz-windows使用指南

mimikatz-windows使用指南一.程序原理获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码。
ploto_cs·2022-12-08 13:24

Bypass Windows Defender Dump Lsass(手法拙劣)

0x00.前言WindowsDefender是一款内置在Windows操作系统的杀毒软件程序,本文旨在记录实战环境中,服务器存在WindowsDefender情况下转储凭证的渗透手法,技术简单粗糙,但是有效,各位轻喷,抱拳.jpg0x01.前提条件能够落地DumpLsass的免杀程序,这
zha0gongz1·2022-09-07 14:00

内网渗透-免杀抓取windows hash

Procdump.exeProcdump是微软官方发布的工具,使用该工具可以把lsass的内存dump下来,可以绕过大多数的防护软件。
Tide_诺言·2022-02-02 22:05

C# dump系统lsass内存和sam注册表详细

目录1、检测权限2、lsass内存3、实现regsave保存sam注册表4、关于ExecuteAssembly5、CS插件1、检测权限因为dump系统lsass内存和sam注册表需要管理员权限,所以首先需要对当前进程上下文权限做判断
·2021-09-26 19:26

Windows系统散列值获取

目录Windows认证机制单机密码抓取SAM(安全账户管理器)lsass.exemimikatz直接获取Procdump导出lsass其他姿势代替Procdump导出lsassSQLDumper代替Procdumpdumplsass
你总是阴雨天·2021-05-16 15:00

Windows xp 系统常见进程

smss.exeSessionManagercsrss.exe子系统服务器进程winlogon.exe管理用户登录services.exe包含很多系统服务lsass.exe管理IP安全策略以及启动ISAKMP
chaikexin1314·2020-09-16 11:35

Winlogon、LSASS、Userinit

参考书籍:>转载请标明是引用于http://blog.csdn.net/chenyujing1234欢迎大家拍砖!一、Winlogon登录过程(\Windows\System32\Winlogon.exe)处理交互式用户登陆和注销,当安全注意序列(SAS,SecureAttentionSequence)组和键被按下时,Winlogon就会接到一个用户登陆请求。一旦用户名和口令已经捕捉到了,就可以将
Jackchenyj·2020-09-14 18:48

Winlogon, LSASS and Userinit简介

Winlogon,LSASSandUserinitWindowslogon进程(/Windows/System32/Winlogon.exe)处理用户的登录和登出。当secureattentionsequence(SAS)击键组合输入时Winlogon被通知有一个用户登陆请求。Windows默认的SAS组合是Ctrl+Alt+Delete。SAS是为了保护用户,防止密码捕捉程序模拟登陆进程,因为这
ToBeroOTer·2020-09-14 17:36

域控制器LSASS cpu占用率高

域控制器上LSASS进程cpu占用率高。域控制器上lsass进程cpu占用率最低30%。想分析一下原因。及如何解决。请问怎么进行?客户单域,单站点1500客户端,2台域控制器。
weixin_33941350·2020-09-12 03:33

lsass.exe文件异常错误的解决办法

这是由于W32/Sasser.worm病毒及其变种引起的。【病毒档案】根据分析,“震荡波”病毒会在网络上自动搜索系统有漏洞的电脑,并直接引导这些电脑下载病毒文件并执行,因此整个传播和发作过程不需要人为干预。只要这些用户的电脑没有安装补丁程序并接入互联网,就有可能被感染。“震荡波”病毒的发作特点,类似于去年夏天造成大规模电脑系统瘫痪的“冲击波”病毒,那就是造成电脑反复重启。瑞星反病毒专家王耀华介绍,
weixin_33696822·2020-09-12 03:51

lsass.exe病毒木马手工清除方法

郁闷啊,今天终于中病毒了,偶最新病毒库的卡巴斯基一直叫个不停(只是叫,就是杀不了),呵呵,带着无比激动的心情,我找到了易博特兄弟的博客,文章原文如下(图片等稍作了修改,由于下面要修改的注册表信息太多,所以希望中病毒的朋友能够耐心的按步骤做下来),刚才查了一下,这个病毒好像叫如雪,名字很好听,咋就这么毒呢...如果你懒于修改注册表,那么就用我作的专杀工具吧,呵呵下载地址一下载地址二↑注意:需要有.n
lykycs·2020-09-12 03:23

AD域控服务器问题解决记录--lsass.exe流量异常

AD域控服务器问题解决记录–lsass.exe流量异常前序公司对技术部门要求做AD域控的计划,在落实这个计划的过程中,会碰到一些奇奇怪怪的问题,再解决问题后,记录一下过程和事后的感受。
大橘为重之大橘已定·2020-09-12 02:47

wce实现hash注入

原理:hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。
一个蝙蝠的故事·2020-08-25 17:21

内网拓展——hash注入

实验原理:hash注入的原理是将我们预备好的目标机器的本地或者是域用户hash注入到本地的认证进程lsass.exe中去,使得本地在使用ipc登录目标机器的时候就如同自己登录自己的机器一样获得权限。
没有如果ru果·2020-08-25 17:28

【内网渗透】凭据收集总结

当你的才华还撑不起你的野心时那你就应该静下心来学习目录从Lsass.exe进程内存中转储凭证ExecutionDumpingCredentialsLocallyPowershell降级bypass/不降级不使用
Agan '·2020-08-25 17:13

神器mimikatz使用命令方法总结

//www.isharepc.com/300.htmlmimikatz是一款功能强大的轻量级调试神器,通过它你可以提升进程权限注入进程读取进程内存,当然他最大的亮点也是让阿刚最感兴趣的就是他可以直接从lsass
weixin_30376163·2020-08-25 09:04

轻松获取windows 明文登录密码(入侵提权后)

简单原理:windows将登录密码加密后没有存文件,而是存在内存中,这样只要我们找到对应的内存段,然后解密那块内存,明文密码就到手了,这里已知windows的加密密码内存段是在lsass的进程空间里,好了
byte_way·2020-08-25 06:52

mimikatz的使用

目录1:远程连接使用2:本地使用注意:1、版本问题2、运行权限3、抓取范围4、抓不到密码的解决方法mimikatz下载链接mimikatz是个好东西,它的功能很多,最重要的是能从lsass.exe进程中获取
ihszg·2020-08-22 15:10

未解决-mimikatz尝试获取win10明文口令报错

CurrentControlSet\Control\SecurityProviders\WDigest/vUseLogonCredential/tREG_DWORD/d1/f使用时注意各种以管理员运行使用ProcDump和任务管理器lsass
高冷的宅先生·2020-08-21 00:03

磁碟机最新变种分析

2、创建文件:C:/037589.log93696字节C:/lsass.exe.
iiprogram·2020-08-20 10:52

磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)

tid=56034&goto=lastpost&sid=NrNn1c磁碟机变种简单分析(lsass.exe、smss.exe、dnsq.dll、NetApi000.sys)这东西接近无敌了:绕主防/Hips
IBM_lover·2020-08-20 09:31

“磁碟机”病毒详尽分析报告

然后在System32路径下的com文件夹中释放病毒文件smss.exe、netcfg.dll、netcfg.000、lsass.exe。然后该程序退出,运行刚刚释放的lsass.exe。
WAST·2020-08-20 09:10

从远程桌面客户端提取明文凭证的工具RdpThief

站在传统的角度看,许多人倾向于使用LSASS进行凭据盗窃,但是lsass.exe通常受到EDR和防病毒产品的监视,而且对LSASS的操作通常需要权限访问,于是我们自然就会考虑,有没有
systemino·2020-08-18 22:14

Winlogon、LSASS、Userinit

转载自:https://blog.csdn.net/chenyujing1234/article/details/8028222一、Winlogon登录过程(\Windows\System32\Winlogon.exe)处理交互式用户登陆和注销,当安全注意序列(SAS,SecureAttentionSequence)组和键被按下时,Winlogon就会接到一个用户登陆请求。一旦用户名和口令已经捕捉
ayang1986·2020-08-18 20:19

内网渗透之mimikatz+procdump 提取 Windows 明文密码

0x00原理获取到内存文件lsass.exe进程(它用于本地安全和登陆策略)中存储的明文登录密码。
Adminxe·2020-08-18 19:12

(转)只能用右键打开盘符的解决方法(2)

近期看见有许多电脑只能用右键打开,google一下,下面是转载的解决方案:这个是典型的中毒了,而且在进程里将会多出一个lsass.exe的,病毒症状进程里面有2个lsass.exe进程,一个是system
feng_sundy·2020-08-18 08:18

windows安全机制之登陆

seealso:HowInteractiveLogonWorksLSA工作过程概述1.winlogon从用户处手机登录身份凭据2.lsass获取这些身份凭据,并在kerberos或者NTLM的帮助下使用这些凭据来验证用户身份
weixin_34232617·2020-08-16 16:27
上一页 1 2 3 4 5 6 7 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他