ProcDump+Mimikatz绕过杀毒软件抓密码

最新推荐文章于 2024-09-11 14:27:59 发布
最新推荐文章于 2024-09-11 14:27:59 发布
阅读量1.1k 收藏 5
点赞数 1
CC 4.0 BY-SA版权
分类专栏: # 内网渗透 文章标签: 网络安全 安全 渗透测试 内网渗透
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43264067/article/details/129301334
本文介绍了如何在杀毒软件和防火墙保护的环境中,利用ProcDump工具转储lsass.exe进程生成dmp文件,然后在本地用Mimikatz读取密码信息,以此来规避安全软件的检测。这种方法涉及Windows系统的内存取证和网络安全攻防。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

抓密码的奇淫技巧

背景

如果主机上装了杀毒软件,开了防火墙,例如:360、火绒之类的话。Mimikatz就会被检测为病毒,无法使用,而想要对Mimikatz进行二次开发或者免杀难度会比较大,那有办法去解决这个问题吗?答案是肯定的,那就是ProcDump+Mimikatz绕过杀毒软件抓密码

1、原理

Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mimikatz时,我们可使用ProcDump工具将系统的lsass.exe进程进行转储,导出dmp文件,拖回到本地后,在本地再利用Mimikatz进行读取。

而ProcDump本身是作为一个正常的运维辅助工具使用,并不带毒,所以不会被杀软查杀。

ProDump下载地址:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/ProcDump

2、实操演示

将工具拷贝到目标机器上执行如下命令(需要管理员权限)

ProcDump.exe -accepteula -ma lsass.exe lsass.dmp

在这里插入图片描述

导出lsass.dmp文件后,使用猕猴桃读取密码hash


                

                
                
        

    

    
  


        

            

                      
                        最低0.47元/天 解锁文章
                        

                          
200万优质内容无限畅学

                          
                        

                      
            

        


    



                



	

		

			

				
					
mimikatz免杀手段来绕过杀软的限制

				
			

			

				

					LiBai'S BLOG
				

				

					11-12
					
					5万+
					
				

			

		

		

			
				
内网渗透过程中,我们常常需要利用mimikatz工具dump出lsass进程来获取明文密码或者hash。但是一般杀软对mimikatz的查杀比较严,对lsass进程的管控也很严格。所以我们需要用到一些免杀手段来绕过杀软的限制,方法网上特别多,下面讲讲我自己实践过的几种。

			
		

	



                

            
              



	

		

			

				
					
绕过360实现lsass转储

				
			

			

				

					hongduilanjun的博客
				

				

					04-18
					
					1104
					
				

			

		

		

			
				
前言
获取Windows用户的凭证信息是渗透过程中至关重要的一步。
没杀软,只要有权限想怎么读就怎么读。
有杀软,得用一些特别的技巧。

注:本机所有测试均为物理机,且为最新版AV

Mimikatz直接读取Lsass进程
权限提升
privilege::debug

密码
sekurlsa::logonpasswords

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BSPqd5Xv-1650257094211)(image-20220411145456534.png

			
		

	



              


  
              

                


	

		

			

				
					
mimikatz配合procdump密码

				
			

			

				

					qq_44881113的博客
				

				

					09-16
					
					4253
					
				

			

		

		

			
				
0x01 获取本地帐户密码
1.1 本地执行
下载mimikatz程序,找到自己系统对应的位数,右键以管理员身份运行:
(不是管理员会报错)
#提升权限
privilege::debug
#密码
sekurlsa::logonpasswords

当目标为win10或2012R2以上时,默认在内存缓存中禁止保存明文密码,但可以通过修改注册表的方式取明文。
cmd修改注册表命令:
reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProvider

			
		

	





	

		

			

				
					
procdumpmimikatz联动

				
			

			

				

					weixin_45715461的博客
				

				

					06-30
					
					832
					
				

			

		

		

			
				
procdumpmimikatz联动

			
		

	



		

			
		



	

		

			

				
					
Mimikatz + procdump使用

				
			

			

				

					键盘上温暖而又美好的时光 .
				

				

					11-15
					
					7205
					
				

			

		

		

			
				
控制远程的服务器后,‘帮助’对方下载mimikatz,然后以管理员身份运行

​​​​​​https://github.com/gentilkiwi/mimikatz/releases


privilege::debug   提取权限
sekurlsa::logonpasswords   密码



mimikatz是从 lsass.exe进程中获取windows的账号及密码的,
这时,我们可以帮对方安装一个procdump64.exe(这是微软自己的工具,可以放心使用)

然后从 lsass.exe

			
		

	





	

		

			

				
					
利用Procdump+Mimikatz获取Windows帐户密码

				
			

			

				

					qq_35405259的博客
				

				

					05-10
					
					3319
					
				

			

		

		

			
				
0x01 前言:
前段时间拿下一个网站的shell,很幸运的是直接就是System权限,结果发现执行添加用户命令并不能成功回显
看了下系统进程,原来是开启了360的主动防御,奈何也不会做免杀,上传exp运行就被杀,尝试各种方法去kill主动防御进程,无果。。。
在土司发帖求助了一下经验丰富的大佬们,然后就有了如下文章:
实验环境:win7企业版64位
0x02 导出lsass.exe
首先要获取...

			
		

	





	

		

			

				
					
内网渗透-Mimikatz+Procdump使用

				
			

			

				

					weixin_60830484的博客
				

				

					04-24
					
					862
					
				

			

		

		

			
				
内网渗透中,获取目标明文密码是必不可少的一部分,可以扩大"攻击面",因此本文将讲解相关工具的使用以及原理。

			
		

	





	

		

			

				
					
Procdump+mimikatz绕过安全防护读取密码

				
			

			

				

					课嗨教育的专栏
				

				

					04-02
					
					438
					
				

			

		

		

			
				
0x01 介绍

在我们提权过程中经常会遇到杀毒软件,在我们将提权exp或者密码读取工具一上传至目标服务器立马被删的尴尬,本文完美解决此问题。

0x02 procdump介绍

Procdump是微软自家的外部工具,其主要目的是监视应用程序中的CPU尖峰并在尖峰期间生成崩溃转储。
具体可以查看:https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

0x03操作

使用procdump转储lsass进程
procdump64.ex

			
		

	





	

		

			

				
					
mimikatz获取密码

					
最新发布

				
			

			

				

					06-06
				

			

		

		

			
				
当直接运行 mimikatz杀毒软件检测时,可以使用 `procdump` 创建 `lsass.exe` 的内存转储文件,然后通过 mimikatz 分析该文件: ```bash procdump.exe -ma lsass.exe lsass.dmp ``` 接着使用 mimikatz 分析转储...

			
		

	





	

		

			

				
					
利用procdump+Mimikatz绕过杀软获取Windows明文密码

				
			

			

				

					大河之犬的博客
				

				

					09-12
					
					1004
					
				

			

		

		

			
				
Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mimikatz时,我们可使用ProcDump工具将系统的lsass.exe进程进行转储,导出dmp文件,拖回到本地后,在本地再利用Mimikatz进行读取。而ProcDump本身是作为一个正常的运维辅助工具使用,并不带毒,所以不会被杀软查杀。

			
		

	





	

		

			

				
					
Procdump密码读取.zip

				
			

			

				

					04-16
				

			

		

		

			
				
用于本地密码内存读取,使用方法包含着压缩包中

			
		

	





	

		

			

				
					
procdump+mimikatz.zip

				
			

			

				

					11-14
				

			

		

		

			
				
procdump+mimikatz

			
		

	





	

		

			

				
					
密码取--Prodump+Mimikatz取windows系统密码

				
			

			

				

					网络安全。
				

				

					02-13
					
					1664
					
				

			

		

		

			
				
1、查看目标系统管理员登录情况,管理员在线,到明文密码的可能性更大。
query user

2、查看目标系统版本。
wmic OS get Caption,OSArchitecture

3、通过Procdump dump lsass.exe 进程数据并将其保存到 lsass.dmp 文件中。
procdump64.exe -accepteula -ma lsass.exe lsass.dmp...

			
		

	





	

		

			

				
					
利用procdump+mimikatz读取windows系统中的密码

				
			

			

				

					LUOBIKUN的博客
				

				

					09-07
					
					4276
					
				

			

		

		

			
				
利用procdump+mimikatz读取windows系统中的密码
今天在学习的过程中,认识了一个工具,可以很简单的就读取windows系统的密码,觉得特别有趣,就自己亲自上手尝试了一下,果然很简单,就是因为比较笨,过程有点曲折,特此记录。
工具我也都整理好了,
链接:https://pan.baidu.com/s/1005cCJe-gJq_Q2vZ7M9lwg
提取码:b1q6
procdump,可以将lsass进程的内存文件导出来;
mimikatz,可以对导出的内存文件进行分析,从而获取密码。
1,

			
		

	





	

		

			

				
					
ProcdumpToDesk密码

				
			

			

				

					Jietewang的博客
				

				

					09-11
					
					1156
					
				

			

		

		

			
				
ProcDump是一个命令行实用工具,其主要用途是监视应用程序的 CPU 峰值,并在出现峰值期间生成故障转储,管理员或开发人员可以使用这些转储来确定出现峰值的原因。ProcDump 还支持挂起窗口监视(使用与 Windows 和任务管理器使用的窗口挂起相同的定义)、未处理的异常监视,并且可以根据系统性能计数器的值生成转储。它还可用作可嵌入到其他脚本中的常规进程转储实用工具。

			
		

	





	

		

			

				
					
使用Procdump+mimikatz取windows7明文密码

				
			

			

				

					qq_40671478的博客
				

				

					09-02
					
					1622
					
				

			

		

		

			
				
首先打开mimikatz_trunk2.0
在DOS运行界面中输入privilege::debug提权命令1
我们提权成功后,我们再来输入sekurlsa::logonpasswords密码命令
但是出现错误,如下图

网上搜索了一下,我决定使用procdump结合mimikatz实现免杀效果,procdump是微软的官方工具,不会被杀.
首先在任务管理器找到lsass.exe,右键创建转储文件


...

			
		

	





	

		

			

				
					
内网渗透mimikatz+procdump 提取 Windows 明文密码

				
			

			

				

					Adminxe的博客
				

				

					05-05
					
					3638
					
				

			

		

		

			
				
0x00 原理

获取到内存文件 lsass.exe 进程 (它用于本地安全和登陆策略) 中存储的明文登录密码。

0x01 操作

Windows10/2012 以下的版本:
1、上传 procdump 执行命令转存出 lsass.dmp 文件(需要管理员权限)


procdump64.exe -accepteula -ma lsass.exe lsass.dmp

2、拿到 mimika...

			
		

	





	

		

			

				
					
【CTF】【渗透】【msf】三、绕过杀毒软件技巧

				
			

			

				

					weixin_45720193的博客
				

				

					09-28
					
					1874
					
				

			

		

		

			
				
将demo9999.exe关闭后,拖进Themida进行加壳。生成下面加壳成功的文件,即可避免火绒查杀。上述方法只能用于火绒。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
猫鼠信安

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值