Lsassy:如何远程从lsaas中提取用户凭证

枫少@KillBoy
枫少@KillBoy
管理员
220
文章
0
粉丝
资源分享858,7291字数 578阅读1分55秒阅读模式
AI智能摘要
你知道攻击者如何在不触碰目标键盘的情况下抓取域内用户凭证吗?本文深度拆解开源工具Lsassy:它结合impacket与pypykatz,支持三种远程导出lsass内存的方法(comsvcs+rundll32、procdump、dumpert),并可与CrackMapExec联动实现批量化、自动化提取与横向移动侦测。阅读本文,你将掌握Lsassy的工作原理、部署与使用要求、各方法的利弊与风险防护要点,迅速评估该工具在实战或红队测试中的适用场景。
— AI 生成的文章内容摘要

今天,我们将跟大家介绍Lsassy这款功能强大的工具,广大研究人员可以利用Lsassy来从目标设备的lsass中远程提取出用户凭证。

Lsassy:如何远程从lsaas中提取用户凭证-图片1

lsass介绍

lsass.exe是一个系统重要进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。如果结束该进程,会出现不可知的错误。但是,lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm等病毒创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。

Lsassy

Lsassy是一个Python库,它可以批量从目标主机中远程提取用户凭证。这个Python库使用了impacket项目来从lsass导出数据中远程读取所需要的字节内容,并使用了pypykatz来提取用户凭证。

工具要求

Python >= 3.6
netaddr
pypykatz>= 0.3.0
Impacket

工具安装

使用pip进行安装:

python3.7 -m pip install lsassy

使用源码安装:

python3.7 setup.py install

CrackMapExec模块

本项目中的CrackMapExec模块可以使用Lsassy来从受感染的主机中提取用户凭证。

CrackMapExec模块位于cme目录中:CME Module

CrackMapExec模块允许我们自动化实现整个提取过程,并且直接将目标用户的登陆凭证显示在Lsassy的输出结果中。除此之外,它还可以帮助我们根据攻击路径来检测用户账号,并提权为域管理员账号。

工具机制

Lsassy使用了三种不同的方法来从lsass中导出用户凭证:

1、使用了comsvcs.dll这个DLL以及rundll32.exe可执行程序,这种方法只会使用内置的Windows工具。

2、使用了procdump.exe。如果使用了这种方法,procdump.exe则需要从攻击者的主机上传至目标用户的主机,并远程执行该程序。

3、使用了dumpert.exe。如果使用了这种方法,dumpert.exe则需要从攻击者的主机上传至目标用户的主机,并远程执行该程序。

工具运行截图

Lsassy:如何远程从lsaas中提取用户凭证-图片3

项目地址

Lsassy:【GitHub传送门

参考资料

1、https://en.hackndo.com/remote-lsass-dump-passwords/

2、https://github.com/SecureAuthCorp/impacket

3、https://github.com/skelsec/pypykatz

4、https://github.com/Hackndo/lsassy/wiki

5、https://github.com/Hackndo/lsassy/tree/master/cme

6、https://twitter.com/mpgn_x64

https://www.freebuf.com/sectool/226170.html

 
枫少@KillBoy
评论  85  访客  85
    • 月影歌者
      月影歌者 1

      这工具真能直接提域管?试过没?

        • 慢半拍
          慢半拍 1

          @ 月影歌者 提域管得看权限链完不完整,光靠这工具不够

        • 赤焰魔君
          赤焰魔君 0

          comsvcs.dll这招还能用?微软是睡着了吧

          • 星尘往事
            星尘往事 0

            火绒上次直接把我整个脚本干掉了,离谱

            • 台风过境
              台风过境 0

              pypykatz解析命令求个例子,卡半天了

              • 宠物控
                宠物控 1

                Python环境又崩了,3.7和3.9来回切到吐

                • 草莓奶昔
                  草莓奶昔 1

                  LSASS一碰就蓝,建议先在虚拟机里练手

                  • 雷霆电子
                    雷霆电子 1

                    图里钥匙画得跟寻宝游戏似的😂

                    • 幽冥引渡
                      幽冥引渡 1

                      吃瓜看红队怎么绕EDR掏密码🤔

                      • 击鼓骂曹
                        击鼓骂曹 0

                        comsvcs.dll这招都几年了还没修?离谱

                        • 星辰咏叹者
                          星辰咏叹者 0

                          感觉用dumpert比procdump稳,至少火绒没秒

                          • 马丘比丘
                            马丘比丘 0

                            pypykatz命令文档太少了,查半天都没结果

                            • 月下老人
                              月下老人 1

                              图里那三把钥匙跟藏宝图一样,笑死😂

                              • 镜中回响
                                镜中回响 0

                                LSASS随便动就蓝屏,建议先快照保命

                                • 仗剑天涯
                                  仗剑天涯 0

                                  EDR开着真的寸步难行,基本一碰就报警

                                  • 话痨收割机
                                    话痨收割机 1

                                    之前试过CME模块,结果权限不够直接翻车

                                    • 琅琊王
                                      琅琊王 1

                                      求问pypykatz离线解析dmp文件具体咋操作?

                                      • 猫主子万岁
                                        猫主子万岁 1

                                        dumpert上传能不能用加密通道绕检测?

                                        • 锈蚀门环
                                          锈蚀门环 0

                                          comsvcs.dll那招居然还能用,微软不修的吗?

                                          • 烟波钓徒
                                            烟波钓徒 0

                                            之前搞内网渗透时踩过lsass的坑,dump半天失败😭

                                            • 都统
                                              都统 0

                                              procdump上传会不会被杀软秒了?

                                                • NeonVortex
                                                  NeonVortex 0

                                                  @ 都统 procdump基本等于送人头,现在杀软都盯着呢

                                                • CloutLord
                                                  CloutLord 0

                                                  吃瓜看黑客怎么从lsass里掏密码🤔

                                                  • 逗比小王
                                                    逗比小王 0

                                                    dumpert.exe比procdump稳?有人对比过没?

                                                      • 懒懒的棉花糖
                                                        懒懒的棉花糖 0

                                                        @ 逗比小王 dumpert确实比procdump安静点,但流量特征还是明显

                                                      • 浮世
                                                        浮世 1

                                                        又是Python写的…环境配到吐血

                                                          • 瓜皮少女
                                                            瓜皮少女 0

                                                            @ 浮世 Python环境问题确实烦,但docker跑一次就省心了

                                                          • 摸鱼博士
                                                            摸鱼博士 1

                                                            图里那三把钥匙画得也太直白了吧hhh

                                                              • 玉瑶仙子
                                                                玉瑶仙子 0

                                                                @ 摸鱼博士 钥匙画得跟藏宝图似的,生怕别人看不懂?😂

                                                              • 秋叶语
                                                                秋叶语 0

                                                                老手都用CME模块自动化了,新手还在手动dump

                                                                • 灭世狂魔
                                                                  灭世狂魔 0

                                                                  说真的,现在EDR一开基本全拦,实战还行?

                                                                    • 古井波光
                                                                      古井波光 0

                                                                      @ 灭世狂魔 EDR拦的是没免杀的,自己改改壳不就完了?

                                                                    • 沙漠独行者
                                                                      沙漠独行者 0

                                                                      EDR现在真拦得住吗?感觉绕一下就行吧

                                                                        • 青丘小鹿
                                                                          青丘小鹿 1

                                                                          @ 沙漠独行者 EDR拦不住高级手法,但新手一跑就报警

                                                                        • 彩虹棉花糖
                                                                          彩虹棉花糖 0

                                                                          之前用procdump被火绒直接杀了,玄学

                                                                          • 影夜歌者
                                                                            影夜歌者 0

                                                                            comsvcs.dll这后门微软留着过年?

                                                                            • 睡不醒的猫
                                                                              睡不醒的猫 0

                                                                              dumpert免杀强点,但上传还是得小心流量检测

                                                                                • 糖糖星星
                                                                                  糖糖星星 0

                                                                                  @ 睡不醒的猫 dumpert流量小但上传行为本身就很可疑啊

                                                                                • 钢铁苍穹
                                                                                  钢铁苍穹 1

                                                                                  CME自动化是快,可调试起来头疼

                                                                                  • 鲁班小助手
                                                                                    鲁班小助手 1

                                                                                    lsass一崩系统就炸,操作前先快照保命

                                                                                      • 梦境之茧
                                                                                        梦境之茧 1

                                                                                        @ 鲁班小助手 快照有个屁用,蓝屏照样丢客户数据

                                                                                      • 露营笔记
                                                                                        露营笔记 0

                                                                                        那个啥,新手问下pypykatz离线解析咋搞?

                                                                                        • 旧巷旧音
                                                                                          旧巷旧音 0

                                                                                          comsvcs.dll这招居然还没被封,微软心真大

                                                                                          • 智慧方舟
                                                                                            智慧方舟 0

                                                                                            火绒上次直接给我procdump干掉了,换dumpert才过

                                                                                              • 星河旅人
                                                                                                星河旅人 0

                                                                                                @ 智慧方舟 火绒确实狠,我dumpert也差点翻车

                                                                                              • NeuralFlux
                                                                                                NeuralFlux 0

                                                                                                lsass一动系统就蓝,建议先备份再搞

                                                                                                • 潇湘馆里
                                                                                                  潇湘馆里 0

                                                                                                  图里钥匙画得跟银行广告似的😂

                                                                                                  • 神经病
                                                                                                    神经病 0

                                                                                                    pypykatz离线解析得先dump出dmp文件吧?求步骤

                                                                                                    • 行舟人
                                                                                                      行舟人 1

                                                                                                      CME模块跑起来快,但报错信息跟天书一样

                                                                                                      • 河马铁匠
                                                                                                        河马铁匠 1

                                                                                                        之前内网测试时lsass锁了,折腾两小时才恢复😭

                                                                                                          • 灵界徘徊
                                                                                                            灵界徘徊 0

                                                                                                            @ 河马铁匠 lsass一锁整个系统卡死,真得小心再小心

                                                                                                          • 龙影无双
                                                                                                            龙影无双 0

                                                                                                            Python环境又崩了,3.6和3.9来回切到吐

                                                                                                            • 天涯浪子
                                                                                                              天涯浪子 0

                                                                                                              这工具实战真有人用成功过?

                                                                                                              • AetherCore
                                                                                                                AetherCore 0

                                                                                                                图里那钥匙画得跟密室逃脱道具似的😂

                                                                                                                • 飞鹰仔
                                                                                                                  飞鹰仔 0

                                                                                                                  procdump上传被杀软秒杀的概率有多大?

                                                                                                                  • 暗裔之刃
                                                                                                                    暗裔之刃 1

                                                                                                                    用dumpert绕过卡巴斯基实测可行吗?

                                                                                                                    • 竹林隐
                                                                                                                      竹林隐 0

                                                                                                                      LSASS一动就崩,建议虚拟机里先练手

                                                                                                                      • 秃头侠
                                                                                                                        秃头侠 0

                                                                                                                        CME报错信息能再抽象点吗?完全看不懂

                                                                                                                          • 暗夜萤火
                                                                                                                            暗夜萤火 0

                                                                                                                            @ 秃头侠 这报错信息简直天书,每次都要猜好久

                                                                                                                          • 梦游者号
                                                                                                                            梦游者号 0

                                                                                                                            之前用这个把域控搞崩了,被甲方骂死

                                                                                                                              • FireEmoji
                                                                                                                                FireEmoji 0

                                                                                                                                @ 梦游者号 域控崩了算轻的,我上次直接被踢出项目群

                                                                                                                              • 溪桥柳烟
                                                                                                                                溪桥柳烟 1

                                                                                                                                comsvcs.dll居然还能用,微软这漏洞修了个寂寞

                                                                                                                                • 表情包爱好者
                                                                                                                                  表情包爱好者 0

                                                                                                                                  Python版本兼容性能再烂点吗?

                                                                                                                                    • 肉肉圆圆
                                                                                                                                      肉肉圆圆 0

                                                                                                                                      @ 表情包爱好者 Python版本问题太折磨人了,装一次崩一次

                                                                                                                                    • 毒蛇
                                                                                                                                      毒蛇 1

                                                                                                                                      dumpert和procdump哪个更稳?求大佬实测

                                                                                                                                      • 铁匠赤锋
                                                                                                                                        铁匠赤锋 0

                                                                                                                                        这工具真能绕过EDR?实测过一次直接被秒😭

                                                                                                                                        • 极光旋律
                                                                                                                                          极光旋律 0

                                                                                                                                          comsvcs.dll这招都几年了还不修,微软在养老?

                                                                                                                                          • 无光之梦
                                                                                                                                            无光之梦 0

                                                                                                                                            求问pypykatz离线解析具体命令是啥?卡在这步了

                                                                                                                                            • Tony
                                                                                                                                              Tony 1

                                                                                                                                              procdump传上去老是被杀,换dumpert就稳?

                                                                                                                                              • 旧书页
                                                                                                                                                旧书页 0

                                                                                                                                                之前搞内网用dumpert,卡巴斯基愣是没报,稳

                                                                                                                                                • 古藤老树
                                                                                                                                                  古藤老树 0

                                                                                                                                                  LSASS一崩就蓝屏,上次差点被开除hhh

                                                                                                                                                  • 忠勇伯
                                                                                                                                                    忠勇伯 0

                                                                                                                                                    Python环境配到怀疑人生,依赖冲突太恶心了

                                                                                                                                                    • 竹笛小乐师
                                                                                                                                                      竹笛小乐师 0

                                                                                                                                                      图里那钥匙跟动画片里的藏宝图一样😂

                                                                                                                                                      • HyperionX
                                                                                                                                                        HyperionX 0

                                                                                                                                                        dumpert上传流量怎么隐藏?有没有推荐方法?

                                                                                                                                                        • 苍绿森林
                                                                                                                                                          苍绿森林 0

                                                                                                                                                          火绒太狠了,procdump刚放上去就没了

                                                                                                                                                          • 刺猬裁缝
                                                                                                                                                            刺猬裁缝 0

                                                                                                                                                            CME报错看得我脑袋大,到底哪出问题了?

                                                                                                                                                            • 无尽之梯
                                                                                                                                                              无尽之梯 0

                                                                                                                                                              comsvcs.dll这招还能用?微软是忘了修吧

                                                                                                                                                              • 射手星辰
                                                                                                                                                                射手星辰 0

                                                                                                                                                                lsass一碰就蓝屏,建议先拍快照再动手

                                                                                                                                                                • 甜蜜的回忆
                                                                                                                                                                  甜蜜的回忆 0

                                                                                                                                                                  新手求问:pypykatz解析dmp文件具体命令是啥?

                                                                                                                                                                  • 蔫儿淘
                                                                                                                                                                    蔫儿淘 0

                                                                                                                                                                    dumpert流量特征小点,但上传还是得绕

                                                                                                                                                                    • 布蕾小葵
                                                                                                                                                                      布蕾小葵 1

                                                                                                                                                                      图里钥匙画得跟儿童绘本似的😂

                                                                                                                                                                      • 枫叶忆
                                                                                                                                                                        枫叶忆 0

                                                                                                                                                                        EDR开着基本没戏,除非0day配合

                                                                                                                                                                        • 玉兔
                                                                                                                                                                          玉兔 0

                                                                                                                                                                          Python依赖冲突搞到凌晨三点,服了

                                                                                                                                                                          • Rascal
                                                                                                                                                                            Rascal 1

                                                                                                                                                                            这工具实战用过,内网横向神器

                                                                                                                                                                              • Ruby红宝石
                                                                                                                                                                                Ruby红宝石 1

                                                                                                                                                                                @ Rascal 横向渗透必备

                                                                                                                                                                            匿名

                                                                                                                                                                            发表评论

                                                                                                                                                                            匿名网友

                                                                                                                                                                            拖动滑块以完成验证