实例介绍
【实例简介】
Physmem2profit是一个先进的工具,它允许用户通过远程分析目标主机的物理内存来创建目标主机LSASS(本地安全权限分配系统)进程的MiniDump文件。这项研究的目的是提出一种替代的凭证盗窃方法,并创建一个可扩展支持其他可以访问物理内存的驱动程序的模块化框架。生成的MiniDump文件可以进一步使用Mimikatz进行分析。该工具不需要Cobalt Strike,但可以通过SOCKS代理在信标上正常工作。
Physmem2profit包含两个组件:
1. 目标主机上执行的C#服务器组件physmem2profit.exe,加载Winpmem驱动程序并作为服务器,通过TCP端口暴露目标主机的物理RAM。
2. 攻击机上执行的客户端,physmem2profit Python模块,当使用--mode mount执行时,连接到目标机器并借助FUSE将目标的物理RAM作为原始文件挂载;当使用--mode dump执行时,调用各种Rekall插件来分析内存映像并生成LSASS进程的minidump;当使用--mode all执行时,执行上述两个动作。当dump完成时,与服务器的连接将关闭。
使用说明:
在目标主机上以管理员身份运行physmem2profit.exe [--ip IP] [-p PORT] [--hidden] [--verbose]。
在攻击机上运行source physmem2profit/client/.env/bin/activate来激活由install.sh创建的虚拟环境。
接着运行cd physmem2profit/client和python3 physmem2profit --host HOST [--port PORT] [--mode MODE] [--driver DRIVER ] [--instal DRIVER_PATH_ON_TARGET] [--label LABEL_FOR_MEMORY_DUMP]。
这将在攻击机上生成LSASS minidump文件至output/[label]-[date]-lsass.dmp。
复制minidump文件到Windows系统上,运行mimikatz.exe "sekurlsa::minidump [label]-[date]-lsass.dmp" "sekurlsa::logonpasswords" "exit"来分析凭证。
Physmem2profit支持从VMware Fusion/Workstation快照(.vmem文件)中检索受Credential Guard保护的凭证的加密密钥,从而帮助解密。
【实例截图】
【核心代码】
文件清单
└── physmem2profit-2f64133bd9931303b8ae47630835e96347e0f294
├── client
│ ├── install.sh
│ ├── physmem2profit
│ │ ├── fsminidump
│ │ │ ├── definitions.py
│ │ │ ├── __init__.py
│ │ │ └── minidump.py
│ │ ├── __init__.py
│ │ ├── __main__.py
│ │ ├── mount.py
│ │ └── physmem2minidump.py
│ ├── rekall
│ └── requirements.txt
├── docs
│ └── physmemlayout.png
├── LICENSE.txt
├── README.md
└── server
├── App.config
├── Core
│ ├── DriverService.cs
│ ├── ICommandReceiver.cs
│ ├── Physerver.cs
│ └── Program.cs
├── Physmem2profit.csproj
├── Physmem2profit.sln
├── Plugins
│ └── WinPmem.cs
├── Properties
│ └── AssemblyInfo.cs
└── README.md
10 directories, 22 files
Physmem2profit是一个先进的工具,它允许用户通过远程分析目标主机的物理内存来创建目标主机LSASS(本地安全权限分配系统)进程的MiniDump文件。这项研究的目的是提出一种替代的凭证盗窃方法,并创建一个可扩展支持其他可以访问物理内存的驱动程序的模块化框架。生成的MiniDump文件可以进一步使用Mimikatz进行分析。该工具不需要Cobalt Strike,但可以通过SOCKS代理在信标上正常工作。
Physmem2profit包含两个组件:
1. 目标主机上执行的C#服务器组件physmem2profit.exe,加载Winpmem驱动程序并作为服务器,通过TCP端口暴露目标主机的物理RAM。
2. 攻击机上执行的客户端,physmem2profit Python模块,当使用--mode mount执行时,连接到目标机器并借助FUSE将目标的物理RAM作为原始文件挂载;当使用--mode dump执行时,调用各种Rekall插件来分析内存映像并生成LSASS进程的minidump;当使用--mode all执行时,执行上述两个动作。当dump完成时,与服务器的连接将关闭。
使用说明:
在目标主机上以管理员身份运行physmem2profit.exe [--ip IP] [-p PORT] [--hidden] [--verbose]。
在攻击机上运行source physmem2profit/client/.env/bin/activate来激活由install.sh创建的虚拟环境。
接着运行cd physmem2profit/client和python3 physmem2profit --host HOST [--port PORT] [--mode MODE] [--driver DRIVER ] [--instal DRIVER_PATH_ON_TARGET] [--label LABEL_FOR_MEMORY_DUMP]。
这将在攻击机上生成LSASS minidump文件至output/[label]-[date]-lsass.dmp。
复制minidump文件到Windows系统上,运行mimikatz.exe "sekurlsa::minidump [label]-[date]-lsass.dmp" "sekurlsa::logonpasswords" "exit"来分析凭证。
Physmem2profit支持从VMware Fusion/Workstation快照(.vmem文件)中检索受Credential Guard保护的凭证的加密密钥,从而帮助解密。
【实例截图】
【核心代码】
文件清单
└── physmem2profit-2f64133bd9931303b8ae47630835e96347e0f294
├── client
│ ├── install.sh
│ ├── physmem2profit
│ │ ├── fsminidump
│ │ │ ├── definitions.py
│ │ │ ├── __init__.py
│ │ │ └── minidump.py
│ │ ├── __init__.py
│ │ ├── __main__.py
│ │ ├── mount.py
│ │ └── physmem2minidump.py
│ ├── rekall
│ └── requirements.txt
├── docs
│ └── physmemlayout.png
├── LICENSE.txt
├── README.md
└── server
├── App.config
├── Core
│ ├── DriverService.cs
│ ├── ICommandReceiver.cs
│ ├── Physerver.cs
│ └── Program.cs
├── Physmem2profit.csproj
├── Physmem2profit.sln
├── Plugins
│ └── WinPmem.cs
├── Properties
│ └── AssemblyInfo.cs
└── README.md
10 directories, 22 files
好例子网口号:伸出你的我的手 — 分享!
小贴士
感谢您为本站写下的评论,您的评论对其它用户来说具有重要的参考价值,所以请认真填写。
- 类似“顶”、“沙发”之类没有营养的文字,对勤劳贡献的楼主来说是令人沮丧的反馈信息。
- 相信您也不想看到一排文字/表情墙,所以请不要反馈意义不大的重复字符,也请尽量不要纯表情的回复。
- 提问之前请再仔细看一遍楼主的说明,或许是您遗漏了。
- 请勿到处挖坑绊人、招贴广告。既占空间让人厌烦,又没人会搭理,于人于己都无利。
关于好例子网
本站旨在为广大IT学习爱好者提供一个非营利性互相学习交流分享平台。本站所有资源都可以被免费获取学习研究。本站资源来自网友分享,对搜索内容的合法性不具有预见性、识别性、控制性,仅供学习研究,请务必在下载后24小时内给予删除,不得用于其他任何用途,否则后果自负。基于互联网的特殊性,平台无法对用户传输的作品、信息、内容的权属或合法性、安全性、合规性、真实性、科学性、完整权、有效性等进行实质审查;无论平台是否已进行审查,用户均应自行承担因其传输的作品、信息、内容而可能或已经产生的侵权或权属纠纷等法律责任。本站所有资源不代表本站的观点或立场,基于网友分享,根据中国法律《信息网络传播权保护条例》第二十二与二十三条之规定,若资源存在侵权或相关问题请联系本站客服人员,点此联系我们。关于更多版权及免责申明参见 版权及免责申明
网友评论
我要评论