感覺最近被問的最多的壹個問題就是在內網橫向移動的過程中怎麽繞過壹些殺毒軟件(比如卡巴斯基)來獲取LSASS進程裏面用戶的壹些密碼哈希值,下面就介紹壹種最簡單的方法。
這裏的繞過原理就是調用AddSecurityPackageA函數來讓LSASS進程主動加載我們提供的DLL文件,而在DLL加載後會直接DUMP自己宿主進程LSASS的內存,以此來成功繞過殺軟的限制。
Talk is cheap. Show me the code!
下面就是加載器SSP核心源碼:
再下面就是DLL核心源碼:
總的來說,核心源碼不超過20行。