admin管理员组

文章数量:1794759

隐蔽转储lsass,EDR绕过AV免杀

隐蔽的Windows凭证转储程序,免杀各大AV及绕过EDR。

技术采用:

  • • 间接系统调用
  • • ETW禁用
  • • 多态
  • • API混淆

技术讲解

首先这是一个普通用户权限shell,然后使用CVE-2024-26229提权至system。

BOF脚本执行完毕后,选择一个系统进程svchost.exe,直接inject,此时得到system权限shell。

接下来编译项目来提取lsass内存。

编译之,免杀defender

传到360机器上执行,执行时发现报毒。接下来使用donut转换成bin,使用免杀加载器加载。

上传至机器并再次执行, C:\temp出现debug.dmp文件。

下载debug.dmp文件至本地,恢复文件签名。

代码语言:javascript代码运行次数:0运行复制
python restoresig.py
File signature restored. Try opening it with Mimikatz now :)

使用mimikatz读取密码。

代码语言:javascript代码运行次数:0运行复制
sekurlsa::minidump debug.dmp
sekurlsa::logonpasswords full

NTLMHash破解,得到密码123456

编译环境

直接使用visual studio默认配置编译,链接器中清单文件,调试信息,其余默认配置生成即可。

有任何疑问请直接留言,关注我以免丢失。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-08-09,如有侵权请联系 cloudcommunity@tencent 删除程序配置权限系统编译

本文标签: 隐蔽转储lsass,EDR绕过AV免杀

版权声明:本文标题:隐蔽转储lsass,EDR绕过AV免杀 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754605503a1704303.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。