AD横向移动时，LSASS进程转储如何处理？

本文通过 Google 翻译 Dumping Credentials – LSASS Process Hashes 这篇文章所产生，本人仅是对机器翻译中部分表达别扭的字词进行了校正及个别注释补充。 导航 0 前言 1 LSASS 进程简介 2 转储 LSASS 进程 – 任务管理器（GUI） 3 转储 LSASS 进程 – LOLBins（CLI） 3.1 Comsvcs.dll 3.2 Rdrleakdiag.exe 3.3 Adplus.exe 3.4 Createdump.exe 3.5 Dump64.exe 3.6 DumpMinitool.exe 3.7 SQLDumper.exe 4 转储 LSASS 进程 – 工具和脚本（CLI） 4.1 Procdump64.exe 4.2 Out-Minidump.ps1 5 离线提取 LSASS 文件 – Pypykatz 6 内存提取 LSASS 进程 – Mimikatz 7 远程提取 LSASS 进程 7.1 Lsassy 7.2 CrackMapExec 0、前言 在这篇文章中，我们将探讨可用于转储 LSASS 进程并提取其中哈希值的各种工具和技术。由于转储 LSASS 进程必须要有高完整性的管理员权限才能进行，因此在本文的各种场景中，它们转储的前提都是已拥有 本地管理员/域管理员/SYSTEM 权限。 首先，我们在 RDP 的桌面环境下使用任务管理器去转储 LSASS 进程；然后，在无 GUI 的命令行环境下使用 7+2 种方式去转储 LSASS 进程。 在通过上述各种方式转储进程之后，我们将进入攻击的下一阶段 – 提取哈希值。从 LSASS 进程中提取哈希的方式有 3 种：（1）从转储的进程文件中通过 Pypykatz 离线提取。（2）使用 Mimikatz 直接在受害机本机的内存中提取。（3）在获得管理员凭据的情况下，通过 Lsassy、CrackMapExec 工具远程从 LSASS 进程中提取。 1、LSASS 进程简介 LSASS（本地安全授权子系统服务）是 Windows 操作系统中一个非常核心且重要的系统进程，它主要用于处理 用户身份验证、访问令牌生成、本地安全策略执行 等任务。它的进程名是 lsass.exe。 用户身份验证：LSASS 负责验证用户在本地或远程登录系统时的凭据（如用户名和密码）。当用户登录时，它会与 Active Directory 或本地账户数据库进行交互，确认用户身份是否合法。 访问令牌生成：成功验证用户身份后，LSASS 创建一个访问令牌，用于标识用户及其权限，这个令牌随后由系统用于权限检查。 本地安全策略执行： 它加载本地安全策略（如密码策略、账户锁定策略等）并在系统运行期间持续执行这些策略。 其中，访问令牌生成 功能是最令我们感兴趣的，因为它会将验证成功之后的用户凭据存储在内存中（直到系统下次重启失效）。而存储的凭据可以使用户在反复访问网络资源时（如文件共享），无需为每个远程服务反复输入凭据。那么在哪些场景下，才会发生凭据被存储于内存中呢？请看下面： 登录计算机上的本地会话或远程桌面会话（RDP） 使用 RunAs执行任务 运行活动的 Windows 服务 运行计划任务或批处理作业 使用远程管理工具 (RSAT) 在本地计算机上执行任务 注：在现代 Windows 系统（win8+ 及 server 2012+）中，LSASS 受到保护进程机制（Protected Process Light, PPL）的保护，限制了对其内存的访问。 2、转储 LSASS 进程 – 任务管理器（GUI） 在这个例子中，假设我们已获得一个本地管理员帐户的凭据，且可以通过 RDP 成功访问目标主机。 sudo xfreerdp /u:pwnt /p:'Password123' /v:172.16.1.50 +clipboard 登录之后，可以看到当前本地管理员的权限是高完整性权限，因此我们可以使用任务管理器去转储 LSASS 进程。 要创建进程转储文件，首先打开任务管理器（Taskmgr.exe）。 然后在“详细信息”选项卡找到 lsass.exe 进程，并右键并选择“创建转储文件”。 如果有效，将会出现一个弹框，向我们显示 DMP 文件的路径。 Awesome！转储已成功创建，接下来就可以将其传输到攻击者机器进行哈希提取了。 3、转储 LSASS 进程 – LOLBins（CLI） 在这个示例中，假设我们只是获得了目标主机的 SYSTEM shell 立足点，没有 GUI 桌面环境可使用。