绕过360核晶抓取密码

渗透技巧 1年前 (2022) admin
906 0 0

本地认证

在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在:%SystemRoot%system32configsam

当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对,如果相同,证明认证成功。

这个SAM文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库。Windows本身不保存明文密码,只保留密码的Hash。其实本地认证的流程可以简化为如下过程:

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先,用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框,接收输入后,将密码交给lsass进程,这个进程中会存一份明文密码,将明文密码加密成NTLM Hash,对SAM数据库比较认证。

  • Windows Logon Process(即 winlogon.exe),是Windows NT 用户登 陆程序,用于管理用户登录和退出。

  • LSASS用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

那么要想拿到hash,就必须要拿到lsass.exe的内存或者是sam数据库文件导出。在开启了360核晶的情况下,如果直接使用cs的hashdump命令是会被直接拦截的,因为hashdump本质上就是通过注入lsass.exe来dump出hash。

红队蓝军二期免杀培训

wx

/b

绕过360核晶抓取密码

核晶开启情况下kill360

在360开启下抓取密码

原文始发于微信公众号(红队蓝军):绕过360核晶抓取密码

版权声明:admin 发表于 2022年10月21日 上午8:01。
转载请注明:绕过360核晶抓取密码 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...