今天,我们将跟大家介绍Lsassy这款功能强大的工具,广大研究人员可以利用Lsassy来从目标设备的lsass中远程提取出用户凭证。
lsass介绍
lsass.exe是一个系统重要进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。如果结束该进程,会出现不可知的错误。但是,lsass.exe也有可能是Windang.worm、irc.ratsou.b、Webus.B、MyDoom.L、Randex.AR、Nimos.worm等病毒创建的,病毒通过软盘、群发邮件和P2P文件共享进行传播。
Lsassy
Lsassy是一个Python库,它可以批量从目标主机中远程提取用户凭证。这个Python库使用了impacket项目来从lsass导出数据中远程读取所需要的字节内容,并使用了pypykatz来提取用户凭证。
工具要求
Python >= 3.6
netaddr
pypykatz>= 0.3.0
Impacket
工具安装
使用pip进行安装:
python3.7 -m pip install lsassy
使用源码安装:
python3.7 setup.py install
CrackMapExec模块
本项目中的CrackMapExec模块可以使用Lsassy来从受感染的主机中提取用户凭证。
CrackMapExec模块位于cme目录中:CME Module。
CrackMapExec模块允许我们自动化实现整个提取过程,并且直接将目标用户的登陆凭证显示在Lsassy的输出结果中。除此之外,它还可以帮助我们根据攻击路径来检测用户账号,并提权为域管理员账号。
工具机制
Lsassy使用了三种不同的方法来从lsass中导出用户凭证:
1、使用了comsvcs.dll这个DLL以及rundll32.exe可执行程序,这种方法只会使用内置的Windows工具。
2、使用了procdump.exe。如果使用了这种方法,procdump.exe则需要从攻击者的主机上传至目标用户的主机,并远程执行该程序。
3、使用了dumpert.exe。如果使用了这种方法,dumpert.exe则需要从攻击者的主机上传至目标用户的主机,并远程执行该程序。
工具运行截图
项目地址
Lsassy:【GitHub传送门】
参考资料
1、https://en.hackndo.com/remote-lsass-dump-passwords/
2、https://github.com/SecureAuthCorp/impacket
3、https://github.com/skelsec/pypykatz
4、https://github.com/Hackndo/lsassy/wiki
上海市 1F
这工具真能直接提域管?试过没?
北京市 B1
@ 月影歌者 提域管得看权限链完不完整,光靠这工具不够
湖北省荆州市 2F
comsvcs.dll这招还能用?微软是睡着了吧
新西兰 3F
火绒上次直接把我整个脚本干掉了,离谱
黑龙江省哈尔滨市 4F
pypykatz解析命令求个例子,卡半天了
越南 5F
Python环境又崩了,3.7和3.9来回切到吐
上海市 6F
LSASS一碰就蓝,建议先在虚拟机里练手
广东省深圳市 7F
图里钥匙画得跟寻宝游戏似的😂
河北省邯郸市 8F
吃瓜看红队怎么绕EDR掏密码🤔
陕西省汉中市 9F
comsvcs.dll这招都几年了还没修?离谱
日本 10F
感觉用dumpert比procdump稳,至少火绒没秒
韩国 11F
pypykatz命令文档太少了,查半天都没结果
北京市 12F
图里那三把钥匙跟藏宝图一样,笑死😂
黑龙江省哈尔滨市 13F
LSASS随便动就蓝屏,建议先快照保命
日本 14F
EDR开着真的寸步难行,基本一碰就报警
中国 15F
之前试过CME模块,结果权限不够直接翻车
江苏省无锡市 16F
求问pypykatz离线解析dmp文件具体咋操作?
日本 17F
dumpert上传能不能用加密通道绕检测?
安徽省滁州市 18F
comsvcs.dll那招居然还能用,微软不修的吗?
浙江省丽水市 19F
之前搞内网渗透时踩过lsass的坑,dump半天失败😭
山东省枣庄市 20F
procdump上传会不会被杀软秒了?
新疆伊犁州 B1
@ 都统 procdump基本等于送人头,现在杀软都盯着呢
新西兰 21F
吃瓜看黑客怎么从lsass里掏密码🤔
广东省阳江市 22F
dumpert.exe比procdump稳?有人对比过没?
山东省 B1
@ 逗比小王 dumpert确实比procdump安静点,但流量特征还是明显
江苏省 23F
又是Python写的…环境配到吐血
上海市青浦区 B1
@ 浮世 Python环境问题确实烦,但docker跑一次就省心了
北京市 24F
图里那三把钥匙画得也太直白了吧hhh
陕西省西安市 B1
@ 摸鱼博士 钥匙画得跟藏宝图似的,生怕别人看不懂?😂
内蒙古 25F
老手都用CME模块自动化了,新手还在手动dump
湖南省长沙市 26F
说真的,现在EDR一开基本全拦,实战还行?
北京市 B1
@ 灭世狂魔 EDR拦的是没免杀的,自己改改壳不就完了?
山东省青岛市 27F
EDR现在真拦得住吗?感觉绕一下就行吧
印度 B1
@ 沙漠独行者 EDR拦不住高级手法,但新手一跑就报警
泰国 28F
之前用procdump被火绒直接杀了,玄学
四川省南充市 29F
comsvcs.dll这后门微软留着过年?
北京市 30F
dumpert免杀强点,但上传还是得小心流量检测
澳大利亚 B1
@ 睡不醒的猫 dumpert流量小但上传行为本身就很可疑啊
江西省南昌市 31F
CME自动化是快,可调试起来头疼
江苏省 32F
lsass一崩系统就炸,操作前先快照保命
韩国 B1
@ 鲁班小助手 快照有个屁用,蓝屏照样丢客户数据
印度 33F
那个啥,新手问下pypykatz离线解析咋搞?
四川省成都市 34F
comsvcs.dll这招居然还没被封,微软心真大
澳大利亚 35F
火绒上次直接给我procdump干掉了,换dumpert才过
浙江省湖州市 B1
@ 智慧方舟 火绒确实狠,我dumpert也差点翻车
北京市 36F
lsass一动系统就蓝,建议先备份再搞
日本 37F
图里钥匙画得跟银行广告似的😂
北京市 38F
pypykatz离线解析得先dump出dmp文件吧?求步骤
北京市 39F
CME模块跑起来快,但报错信息跟天书一样
北京市 40F
之前内网测试时lsass锁了,折腾两小时才恢复😭
韩国 B1
@ 河马铁匠 lsass一锁整个系统卡死,真得小心再小心
河南省洛阳市洛宁县 41F
Python环境又崩了,3.6和3.9来回切到吐
辽宁省鞍山市 42F
这工具实战真有人用成功过?
云南省玉溪市 43F
图里那钥匙画得跟密室逃脱道具似的😂
北京市 44F
procdump上传被杀软秒杀的概率有多大?
浙江省台州市 45F
用dumpert绕过卡巴斯基实测可行吗?
江苏省扬州市 46F
LSASS一动就崩,建议虚拟机里先练手
北京市 47F
CME报错信息能再抽象点吗?完全看不懂
广东省江门市 B1
@ 秃头侠 这报错信息简直天书,每次都要猜好久
浙江省湖州市 48F
之前用这个把域控搞崩了,被甲方骂死
北京市 B1
@ 梦游者号 域控崩了算轻的,我上次直接被踢出项目群
吉林省 49F
comsvcs.dll居然还能用,微软这漏洞修了个寂寞
浙江省宁波市 50F
Python版本兼容性能再烂点吗?
越南 B1
@ 表情包爱好者 Python版本问题太折磨人了,装一次崩一次
江西省南昌市 51F
dumpert和procdump哪个更稳?求大佬实测
辽宁省沈阳市 52F
这工具真能绕过EDR?实测过一次直接被秒😭
日本 53F
comsvcs.dll这招都几年了还不修,微软在养老?
北京市 54F
求问pypykatz离线解析具体命令是啥?卡在这步了
湖北省孝感市 55F
procdump传上去老是被杀,换dumpert就稳?
印度尼西亚 56F
之前搞内网用dumpert,卡巴斯基愣是没报,稳
澳大利亚 57F
LSASS一崩就蓝屏,上次差点被开除hhh
上海市 58F
Python环境配到怀疑人生,依赖冲突太恶心了
韩国 59F
图里那钥匙跟动画片里的藏宝图一样😂
广东省广州市 60F
dumpert上传流量怎么隐藏?有没有推荐方法?
越南 61F
火绒太狠了,procdump刚放上去就没了
福建省泉州市 62F
CME报错看得我脑袋大,到底哪出问题了?
广东省广州市 63F
comsvcs.dll这招还能用?微软是忘了修吧
日本 64F
lsass一碰就蓝屏,建议先拍快照再动手
湖北省武汉市 65F
新手求问:pypykatz解析dmp文件具体命令是啥?
北京市 66F
dumpert流量特征小点,但上传还是得绕
北京市 67F
图里钥匙画得跟儿童绘本似的😂
湖北省黄冈市 68F
EDR开着基本没戏,除非0day配合
日本 69F
Python依赖冲突搞到凌晨三点,服了
上海市 70F
这工具实战用过,内网横向神器
山东省滨州市 B1
@ Rascal 横向渗透必备