Lsass dump

[SlowMan]

Hi.
Sophos ne daet vigruzit dump lsass.dmp

Kakoe reshenie est?

 

[RandomName]

Не один ав не даст выгрузить дамп, их надо тушить.

 

[krbtgt]

Пытайся получить локальные хеши. Далее брут или используя хеш логиниться дальше.

 

[SlowMan]

Не один ав не даст выгрузить дамп, их надо тушить.

Sophos kak putushit?

 

[krbtgt]

Помню был один способ на экспе через gmer и pshunter но врядли он сейчас актуален. И то как минимум нужны админ права.
Если ты на начальном этапе и тебе нужно продвинуться дальше, то это только локал хеши
А так только хант админов и искать пас от авера...
Вариков больше нет.

 

[RandomName]

Помню был один способ на экспе через gmer и pshunter но врядли он сейчас актуален. И то как минимум нужны админ права.

Уже не работает, гмера не пустит, и нужен был локальный админ ведь.

 

[RandomName]

Sophos kak putushit?

Если он под паролем то подручными никак, если пасса нет, то через настройки (Defender тоже не забудь прибить, он тоже не даст дампить)
Сними через wmiexeс дамп локальный, собирай юзеров, расхешируй и пробуй в другие машины мячиком, прям пачку кред скань.

В природе это зовется боковым перемещением, ты не повышаешь права в сети, но распространяешься по ней.
Тебе надо боковым дойти до контроллера домена (в идеале) или до любого сервера где нет АВ, там снять мимика ну и молиться, что админ там залогинился.
Скорее всего, как показывает опыт, надо дампы 2-5 машин, чтоб ыпоймать админа.

 

[SlowMan]

Y menya local admin prava. Chto konrektno delat nujno?

 

[SlowMan]

Iz dostupnih portov tolko rdp

 

[RandomName]

Iz dostupnih portov tolko rdp

445 порт закрыт на машинах? не может быть) погляди еще раз

Как коннектишься в сеть?
Через rdp или через впн?

 

[SlowMan]

445 порт закрыт на машинах? не может быть) погляди еще раз

Как коннектишься в сеть?
Через rdp или через впн?

Cherez RDP. Bez VPN
Vneshne 445 zakrit. Chto delat ?

 

[SlowMan]

Est dannie k RDP s local admin pravami. 445 port zakrit k nemu ne connect. otkrit tolko RDP port.
Dannih ot domain uchetki netu. AV stoit Sophos. Dump lsass srazu delaet remove.

 

[network1]

Cherez RDP. Bez VPN
Vneshne 445 zakrit. Chto delat ?

А зачем он тебе внешне открытый? Если я правильно понял, ты через открытый внешне рдп попадаешь на хост.
Проскань локалку с этого рдп хоста в поиске других, более уязвимых или без АВ на борту тачек.

 

[SlowMan]

А зачем он тебе внешне открытый? Если я правильно понял, ты через открытый внешне рдп попадаешь на хост.
Проскань локалку с этого рдп хоста в поиске других, более уязвимых или без АВ на борту тачек.

Y menya nety dostupa k uchetkam iz domena. Tolko LA na etom RDP. Na drugie mashini ne smogu popast

 

[toksic]

Bypass CrowdStrike Falcon EDR protection against process dump like lsass.exe

One of the main thing you do as a penetration tester when you compromise a windows machine on the network and you want to expand to other…

medium.com