读取不到 hash 怎么绕过
方法一:绕过 EDR/AV 和 LSAProtection
这是最常见的挑战。大多数攻击者会使用 Mimikatz,但它常常被安全软件检测到
- 使用定制或混淆的工具:
- Mimikatz 的变种: 寻找或自己编译 Mimikatz 的混淆版本(如
P-Code、Minidump)。这些版本可能没有被 EDR/AV 的签名库收录 - 不依赖 Mimikatz 的替代工具: 尝试使用其他开源工具,如
LaZagne或DonPAPI。这些工具采用不同的技术来提取凭据,可能绕过某些防御
- Mimikatz 的变种: 寻找或自己编译 Mimikatz 的混淆版本(如
- 使用内存转储(Memory Dumping)
procdump.exe: 这是微软官方的工具,可以合法地转储进程内存。你可以使用它来转储 LSASS 进程,然后在另一台安全的机器上用 Mimikatz 的sekurlsa::minidump模块离线分析- 注意: 尽管
procdump是官方工具,但许多 EDR/AV 已经对其进行了监控。你需要小心使用 - 手动转储: 也可以使用 Powershell 或 C# 编写代码,直接调用
MiniDumpWriteDumpAPI 来转储 LSASS 进程。这比使用现成的工具更隐蔽
- 进程注入与内存补丁
- 通过注入到合法的进程(如
svchost.exe)中,然后从该进程内部转储 LSASS 内存,可以绕过一些基于进程行为的监控 - PPL(Protected Process Light) 绕过:如果目标启用了 PPL,传统的注入方式会失败。可以尝试利用一些已知漏洞或驱动程序来提升权限并绕过 PPL。例如,使用一些内核驱动加载工具,在内核模式下操作
- 通过注入到合法的进程(如