绕过360核晶抓取密码
2022-10-21 08:4:31 Author: 红队蓝军(查看原文) 阅读量:18 收藏

本地认证

在本地登录Windows的情况下,操作系统会使用用户输入的密码作为凭证去与系统中的密码进行验证,但是操作系统中的密码存储在:%SystemRoot%\system32\config\sam

当我们登录系统的时候,系统会自动地读取SAM文件中的“密码”与我们输入的“密码”进行比对,如果相同,证明认证成功。

这个SAM文件中保留了计算机本地所有用户的凭证信息,可以理解为是一个数据库。Windows本身不保存明文密码,只保留密码的Hash。其实本地认证的流程可以简化为如下过程:

winlogon.exe -> 接收用户输入 -> lsass.exe -> (认证)

首先,用户注销、重启、锁屏后,操作系统会让winlogon显示登录界面,也就是输入框,接收输入后,将密码交给lsass进程,这个进程中会存一份明文密码,将明文密码加密成NTLM Hash,对SAM数据库比较认证。

  • Windows Logon Process(即 winlogon.exe),是Windows NT 用户登 陆程序,用于管理用户登录和退出。

  • LSASS用于微软Windows系统的安全机制。它用于本地安全和登陆策略。

那么要想拿到hash,就必须要拿到lsass.exe的内存或者是sam数据库文件导出。在开启了360核晶的情况下,如果直接使用cs的hashdump命令是会被直接拦截的,因为hashdump本质上就是通过注入lsass.exe来dump出hash。

红队蓝军二期免杀培训

wx

/b

核晶开启情况下kill360

在360开启下抓取密码


文章来源: http://mp.weixin.qq.com/s?__biz=Mzg2NDY2MTQ1OQ==&mid=2247504007&idx=1&sn=d05780700a2f285f9b6e2df58ea2ea57&chksm=ce676a3bf910e32d608babbcd14e62ef80c965c118b6b5fa0978f4346cceab39571d8b8a94ff#rd
如有侵权请联系:admin#unsafe.sh