ATT&CK-T1003-001-操作系统凭据转储:LSASS内存

最新推荐文章于 2026-06-01 11:58:02 发布
原创 最新推荐文章于 2026-06-01 11:58:02 发布 · 1.5k 阅读 · 2
标签
#windows #红队技术 #红队攻防 #ATTCK #redteam
本文介绍通过不同技术手段转储LSASS进程内存的方法,包括使用ProcDump、comsvcs.dll、Dumpert工具及NanoDump等,并探讨了针对这些技术的安全检测与防御策略。

0x01基础信息

具体信息 详情
ATT&CK编号 T1003-001
所属战术阶段 凭据访问
操作系统 windows 7 旗舰版 SP1
创建时间 2022年11月17日
监测平台 火绒安全、火绒剑、sysmon

0x02技术原理

攻击者可能会尝试访问存储在本地安全机构子系统服务 (LSASS) 进程内存中的凭证材料。用户登录后,系统生成各种凭证材料,存储在LSASS进程内存中。这些凭证材料可以由管理用户或 SYSTEM 获取,并用于使用使用备用身份验证材料 进行横向移动

与内存技术一样,LSASS 进程内存可以从目标主机转储并在本地系统上进行分析。

例如,在目标主机上使用 procdump:

  • procdump -ma lsass.exe lsass_dump

在本地,可以使用以下方式运行 mimikatz:

  • sekurlsa::Minidump lsassdump.dmp

  • sekurlsa::logonPasswords

也可以使用内置的 Windows 工具,例如 comsvcs.dll:

  • rundll32.exe C:\Windows\System32\comsvcs.dll,  MiniDump lsass-PID  lsass.dmp  full

Windows 安全支持提供程序 (SSP) DLL 在系统启动时加载到 LSSAS 进程中。一旦加载到 LSA 中,SSP DLL 就可以访问存储在 Windows 中的加密和明文密码,例如任何登录用户的域密码或智能卡 PIN。SSP 配置存储在两个注册表项中:

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\Security Packages。攻击者可能会修改这些注册表项以添加新的 SSP,这些 SSP 将在下次系统启动时或调用 AddSecurityPackage Windows API 函数时加载。

0x03 复现环境

工具列表 相关链接
sysmon日志记录工具 https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
sysmon默认规则文件 https://github.com/SwiftOnSecurity/sysmon-config/blob/master/sysmonconfig-export.xml
sysmon安装命令 sysmon64.exe -accepteula -i sysmonconfig-export.xml
攻击条件 已经获取管理员权限的shell

0x04 复现过程

  • 使用ProcDump转储LSASS.exe内存

lsass.exe(Local Security Authority Subsystem Service )进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问LSASS进程内存,从而可以导出内部数据(password),用于横向移动和权限提升。

lsass.exe 的内存经常被转储用于离线凭据盗窃攻击。这可以通过 Sysinternals ProcDump 来实现。

成功执行后,您应该会看到创建了以下文件 c:\windows\temp\lsass_dump.dmp。

命令 描述 默认值
output_file 结果转储存放的路径 C:\Windows\Temp\lsass_dump.dmp
procdump.exe Procdump 可执行文件的路径 Path To swordheartFolder\procdump.exe

攻击命令

procdump.exe -accepteula -ma lsass.exe lsass_dump.dmp

在这里插入图片描述

转储了lsass进程,把内存dump出来的dmp文件可以通过本地mimikatz进行解密

Sekurlsa::minidump lsass_dump.dmp
Sekurlsa::logonPasswords full

在这里插入图片描述

  • 使用 comsvcs.dll 转储 LSASS.exe 内存

lsass.exe 的内存经常被转储用于离线凭据盗窃攻击。这可以通过内置的 dll 来实现。

成功执行后,您应该会看到创建了以下文件 $env:TEMP\lsass-comsvcs.dmp。

攻击命令【使用powershell运行】: rundll32.exe comsvcs.dll, MiniDump lsass-PID lsass-comsvcs.dmp full

C:\Windows\System32\rundll32.exe  C:\windows\System32\comsvcs.dll, MiniDump (Get-Process lsass).id  $env:TEMP\lsass-comsvcs.dmp full

获取lsass.exe的pid为540

在这里插入图片描述

MiniDump需要首字母大写,comsvcs.dll可以单独从system中取出来,因为存在杀软对敏感路径的访问进行拦截的行为,单独取出来火绒不会进行拦截

在这里插入图片描述

可以从当前目录直接转到powershell界面,在攻击时可以把comsvcs.dll放置到目标主机然后dump内存,与前面一样转储文件取回本地进行解密

在这里插入图片描述

  • 使用直接系统调用和 API unhooking 转储 LSASS.exe 内存

lsass.exe 的内存经常被转储用于离线凭据盗窃攻击。这可以通过使用直接系统调用和 API 脱钩来避免检测来实现。

成功执行后,您应该会看到创建了以下文件 C:\windows\temp\dumpert.dmp。

dumpert:利用直接系统调用和API脱钩技术来实现AV/EDR软件的逃避

【直接系统调用】

为了理解系统调用到底是什么,我们首先必须深入了解操作系统体系结构,特别是 W

最低0.47元/天 解锁文章
Windows转储LSASS工具(7种方法、获取hash)
墨痕诉清风的博客
01-10 798
用于转储 LSASS(本地安全机构子系统服务)内存,渗透测试和红队活动经常需要用到。它为用户提供灵活的选项,并使用多种高级技术转储内存,允许访问 LSASS 内存中的敏感数据。解除挂钩注入(修改后的 Mimikatz 二进制文件)——利用解除挂钩来注入修改后的 Mimikatz 二进制文件,绕过 EDR 挂钩并逃避检测。解除挂钩注入(使用 MDWD 的直接系统调用)——使用 MDWD 实现直接系统调用以进行隐身注入,减少留下的痕迹。简单的 MiniDumpWriteDump API。
利用mimikatz抓取密码及散列值
Zlirving_的博客
01-15 4080
目录windows系统散列值获取前提介绍在线读取散列值及明文密码离线读取lsass.dmp文件防范 windows系统散列值获取 域环境中,用户信息存储在ntds.dit,加密成散列值(都为散列加密算法) LM HASH:DES加密。明文密码限定在14为以内。不够字节用0补齐 NTLM HASH:MD4加密。 前提介绍 抓取密码之前,必须为最高权限。windows下用户名、散列值及其他安全信息都保存在SAM文件中。lsass.exe进程用于实现windows安全策略. 工具: Mimikatz Procd
导出lsass内存各种方法
qq_18193739的博客
08-08 3275
导出lsass内存各种方法,mimikatz读取密码
进程分叉与快照:NanoDump如何间接读取LSASS内存
gitblog_00715的博客
05-03 982
NanoDump作为一款强大的LSASS内存读取工具,采用创新的进程分叉与快照技术,实现对LSASS内存的间接读取,有效规避了直接访问带来的风险。本文将深入解析NanoDump的这两种核心技术,帮助新手用户理解其工作原理及使用方法。 ## 一、为何选择间接读取LSASS内存 LSASS(Local Security Authority Subsystem Service)是Windows系统中
利用procdump+Mimikatz绕过杀软获取Windows明文密码
大河之犬的博客
09-12 1284
Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mimikatz时,我们可使用ProcDump工具将系统的lsass.exe进程进行转储,导出dmp文件,拖回到本地后,在本地再利用Mimikatz进行读取。而ProcDump本身是作为一个正常的运维辅助工具使用,并不带毒,所以不会被杀软查杀。
后渗透——Window下多种密码提取的小技巧
无问社区的博客
01-09 1221
在后渗透阶段,想要长久控制一台或多台主机,获取主机密码是非常关键的一个环节,本次为各位提供了目前非常有效的几种密码提取方法。
lsassy核心原理剖析:从远程执行到凭据解析的技术内幕
gitblog_01415的博客
04-26 717
lsassy是一款专注于从远程Windows系统中提取lsass进程凭据的安全工具,通过巧妙结合远程执行与内存解析技术,实现对目标系统凭据的高效获取。本文将深入解析其核心工作流程,帮助安全从业者理解从远程命令执行到最终凭据提取的完整技术链条。 ## 一、远程执行引擎:突破系统边界的核心能力 lsassy的远程执行模块位于[lsassy/exec/](https://link.gitcode.c
使用 mimikatz 绕过 Windows 10 防护
idlecloud0105的博客
03-06 549
Windows 10 的 Credential Guard 显著提高了系统在凭据保护方面的安全性,但这并不意味着攻击面被彻底消除。在合法授权的测试场景中,攻击者依然可以通过修改认证流程本身来绕过部分防护。帮助防御者知道攻击者还能“做到哪一步”,以及防线究竟应该设在哪里。只有在充分理解攻击手段的前提下,防守策略才能真正发挥效果。
Mimikatz实战指南:从基础到高级的内网渗透技巧
y2z3a4b5c的博客
02-23 660
本文提供了一份全面的Mimikatz实战指南,涵盖从基础概念到高级内网渗透技巧。详细介绍了如何利用Mimikatz从Windows系统内存中提取凭证(包括明文密码和哈希),并重点讲解了如何突破高版本Windows的限制、使用核心模块进行横向移动,以及在Metasploit框架中集成使用。文章还从防御视角分析了对抗此类攻击的安全措施与操作安全要点。
Akira 勒索软件攻击链解析:1400+ 受害者背后的七阶段 TTP 剧本与检测建议
最新发布
塞讯科技的博客 | 塞讯安全验证 | 塞讯可观测
06-01 194
其目标覆盖中小企业、大型组织及关键基础设施,主要受害区域包括北美、欧洲和澳大利亚,涉及制造、教育、信息技术、医疗、金融服务、食品与农业等行业。安全团队需要将 Akira 的 TTP 转化为可执行的验证场景,在自身环境中模拟初始访问凭据窃取、横向移动、防御规避和数据外传,验证 EDR、SIEM、SOC 流程是否能够及时发现并响应。在真实攻击中,很多企业并非完全没有数据。为了维持长期访问,攻击者可能在受害者域环境中创建新的域账户,以合法身份隐藏在正常账户体系中,并为后续横向移动、数据窃取和加密操作保留入口。
windows lsass转储总结
渗透测试研究中心
01-01 2102
前言lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问LSASS进程内存,从而可以导出内部数据(password),用于横向移动和权限提升。通过lsass转储用户密码或者hash也算是渗透过程中必不可少的一步,这里学习一下原理以及记录下多种转储方法。[...
利用procdump+mimikatz读取windows系统中的密码
LUOBIKUN的博客
09-07 4664
利用procdump+mimikatz读取windows系统中的密码 今天在学习的过程中,认识了一个工具,可以很简单的就读取windows系统的密码,觉得特别有趣,就自己亲自上手尝试了一下,果然很简单,就是因为比较笨,过程有点曲折,特此记录。 工具我也都整理好了, 链接:https://pan.baidu.com/s/1005cCJe-gJq_Q2vZ7M9lwg 提取码:b1q6 procdump,可以将lsass进程的内存文件导出来; mimikatz,可以对导出的内存文件进行分析,从而获取密码。 1,
IT安全:浅谈Windows凭据转储攻击
ITmoster的博客
01-29 544
通常情况下,网络攻击者并不需要使用高级手段入侵公司网络就可以在网络中隐藏。例如,他们会通过模仿合法用户的活动来掩饰自己的恶意操作,几乎不留下任何可疑痕迹。 攻击者将恶意行为与日常IT活动相结合,可避免暴露自己的身份,并在较长时间内不被发现。例如,大家通常想到的什么是最快和最常见的访问计算机的方式?很明显答案是登录,但值得注意的是,窃取和使用合法凭证来获取访问权限是攻击者最广泛使用的手段之一。 攻击者从服务器窃取用户凭据的几种方式 除了典型的暴力破解攻击、网络钓鱼或肩膀冲浪密码攻击(它涉及从受害者的肩膀上偷看
Procdump&mimikatz&NatBypass
AaronLuo
06-30 616
Procdump抓取密码 Procdump是一个轻量级的Sysinternal团队开发的命令行工具, 它的主要目的是监控应用程序的CPU异常动向, 并在此异常时生成crash dump文件, 供研发人员和管理员确定问题发生的原因 首先得先获取到内存文件lsass.exe进程, 它用于本地安全和登陆策略 使用管理员权限,利用procdump64.exe(或procdump32.exe)导出lsass.dmp procdump64.exe -accepteula -ma lsass.exe lsass.dmp
几种免杀转储lsass进程的技巧
chenfeng857的博客
09-06 4646
在内网渗透进行横向移动和权限提升时,最常用的方法是通过dump进程lsass.exe,从中获得明文口令或者hash。lsass.exe(Local Security Authority Subsystem Service)是一个系统进程,用于微软Windows系统的安全机制,它用于本地安全和登陆策略。在进程空间中,存有着机器的域、本地用户名和密码等重要信息。但是需要首先获得一个高的权限才能对其进行访问。 在存在杀软防护的情况下,要想转储lsass进程,我首先想到的是procdump+Mimikatz 的方式
【渗透测试笔记】之【内网渗透——Windows系统散列值获取与防范】
AA8j的博客
07-26 644
拓扑图 Windows系统散列值获取与防范 1.通过CS模块获取用户凭证信息 在获取到目标主机权限后,我们可以抓取hash和dump明文密码,这两项功能都需要管理员权限,如果权限不足,先要进行提权操作。 抓取密码哈希:右键被控主机 —> Access —> Dump Hashes [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iBCl8Ihj-1627176965164)(images/2021-07-20-16-09-45.png)] [外链图片转存失败,
渗透测试--Windows凭证收集
weixin_44368093的博客
12-02 1865
在渗透测试过程中,我们终究会遇到攻陷了某台加域Windows主机的情况。而这种情况下,我们很需要搜集当前主机的凭证信息。为进一步利用这些相互信任的凭证来进行横向打下基础。从中我们能获取转储文件,离线解析以获取凭证在线解析lsass程序内存sam数据库时在主机没有加域的情况下,会采用的一种认证措施,里面会有所有使用这个机器的用户的凭证信息设备中的配置文件有时会包含凭证信息,我们值得留意这个时域控的头头,包含域内所有用户的凭证。
基于AD Event日志检测LSASS凭证窃取攻击
11-30 1032
01、简介 简单介绍一下,LSASS(本地安全机构子系统服务)在本地或域中登录Windows时,用户生成的各种凭证将会存储在LSASS进程的内存中,以便用户不必每次访问系统时重新登录。 攻击者在获得起始攻击点后,需要获取目标主机上的相关凭证,以便通过用户凭证进行横向移动,这个技术点最容易关联到的就是获取LSASS内存中保存的用户凭证。 一般LSASS窃取凭证有两种方式,第一种就是直接从LSASS...
密码抓取--Prodump+Mimikatz抓取windows系统密码
网络安全。
02-13 1792
1、查看目标系统管理员登录情况,管理员在线,抓到明文密码的可能性更大。 query user 2、查看目标系统版本。 wmic OS get Caption,OSArchitecture 3、通过Procdump dump lsass.exe 进程数据并将其保存到 lsass.dmp 文件中。 procdump64.exe -accepteula -ma lsass.exe lsass.dmp...
Kali Linux渗透测试 152 活取证和死取证
kevinhanser
04-20 2663
本文记录 Kali Linux 2018.1 学习使用和渗透测试的详细过程,教程为安全牛课堂里的《Kali Linux 渗透测试》课程 Kali Linux渗透测试(苑房弘)博客记录 1. 活取证1. 从内存还原文字procdump.exe下载地址strings.exe下载地址 其他文字处理程序也适用C:\> procdump -ma notepad.exe notepad.dmp C:\
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值