在內(nèi)網(wǎng)滲透過(guò)程中,獲取 windows 系統(tǒng)權(quán)限后,提取本地哈希值是一項(xiàng)關(guān)鍵操作。今天我們將介紹一款功能強(qiáng)大的工具,它整合了七種不同的方法來(lái)轉(zhuǎn)儲(chǔ) lsass 內(nèi)存。工具的下載地址如下:
運(yùn)行工具的界面如下:
如果不帶任何參數(shù)運(yùn)行該程序,程序會(huì)提示你輸入所需的方法,參數(shù)范圍為 1 到 7,每個(gè)參數(shù)對(duì)應(yīng)不同的功能:
- 使用解除掛鉤技術(shù)轉(zhuǎn)儲(chǔ) lsass 內(nèi)存,并注入修改后的 mimikatz 二進(jìn)制文件。
- 使用解除掛鉤技術(shù)轉(zhuǎn)儲(chǔ) lsass 內(nèi)存,并使用 MDWD 的直接系統(tǒng)調(diào)用注入二進(jìn)制文件。
- 使用簡(jiǎn)單的 MiniDumpWriteDump API 轉(zhuǎn)儲(chǔ) lsass 內(nèi)存。
- 使用 MINIDUMP_CALLBACK_INFORMATION 回調(diào)轉(zhuǎn)儲(chǔ) lsass 內(nèi)存。
- 使用進(jìn)程分叉技術(shù)轉(zhuǎn)儲(chǔ) lsass 內(nèi)存。
- 使用 MiniDumpWriteDump 的直接系統(tǒng)調(diào)用轉(zhuǎn)儲(chǔ) lsass 內(nèi)存。
- 使用直接系統(tǒng)調(diào)用轉(zhuǎn)儲(chǔ) lsass 內(nèi)存(本機(jī)轉(zhuǎn)儲(chǔ),帶有離線解析所需的流)。
假設(shè)我們隨機(jī)選擇方法 5,運(yùn)行結(jié)果如下:
.png)
推廣.jpg)