dump_lsass_for_Win7_x64.c 和 dump_lsass_for_Win10_x64.c 是國外一位大佬寫的專門轉儲lsass.exe進程的工具
參考鏈接:https://osandamalith.com/2019/05/11/shellcode-to-dump-the-lsass-process/
procdump.exe 是微軟官方的進程轉儲工具,設計初衷是抓取崩潰進程的內存數據
下載地址:https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump
dump_lsass_for_Win7_x64.c 和 dump_lsass_for_Win10_x64.c有編譯好的exe程序,GitHub下載:https://github.com/7hmA3s/dump_lsass
使用方法
第1步:dump內存數據
#使用prodump.exe轉儲(需要管理員權限)
procdump.exe -accepteula -ma lsass.exe lsass_dump
#或者使用dump_lsass_for_Win*_x64.exe轉儲(需要管理員權限)
dump_lsass_for_Win7_x64.exe
dump_lsass_for_Win10_x64.exe
第2步:利用mimikatz讀取密碼
#lsass_dump.dmp為保存dump數據的文件
mimikatz.exe "sekurlsa::minidump lsass_dump.dmp" "sekurlsa::logonPasswords full" exit
LM、NTLM和SHA1均是加密過的密碼,Password是明文密碼。
注意事項
在某些高版本的Windows中procdump.exe工具雖然能dump內存數據,但用mimikatz無法讀取出明文密碼,只能獲取NTLM哈希和SHA1哈希,如:Windows 10.0.10586 x64
dump_lsass_for_Win7_x64.exe 和 dump_lsass_for_Win10_x64.exe 對Windows系統版本有一些限制,我簡單測了一下:
dump_lsass_for_Win7_x64.exe 在以下平台可dump明文密碼:
- Windows 7 x64
- Windows Server 2008 R2 SP1 x64
dump_lsass_for_Win7_x64.exe 在以下平台只dump出了NTLM哈希:
- Windows Server 2012 R2 標准版 x64 [6.3.9600]
dump_lsass_for_Win10_x64.exe 在以下平台可dump明文密碼:
- Windows 10.0.10586 x64
dump_lsass_for_Win10_x64.exe 不能在以下平台運行,一運行程序就崩潰:
- Windows Server 2012 R2 標准版 x64 [6.3.9600]