Torrents Stats
- Partagées
- 34.3 TB
- Téléchargées
- 0 bytes
- Ratio
- -
- Messages
- 7 709
- J'aime
- 131 298
- Trophées
- 3 403
- Inscrit
- 14 Octobre 2021
yo
lsass ou Local Security Authority Subsystem Service est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs. Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'après les informations de l'annuaire Active Directory
MultiDump est un post exploitation outil écrit en C pour dumper et extraire la mémoire LSASS discrètement, sans déclencher d'alertes Defender, avec un gestionnaire écrit en Python
MultiDump prend en charge le vidage LSASS via ProcDump.exe ou comsvc.dll, il propose deux modes : un mode local qui crypte et stocke le fichier de vidage localement et un mode distant qui envoie le vidage à un gestionnaire pour décryptage et analyse.
usage
Comme pour tous les outils liés à LSASS, les privilèges Administrator/SeDebugPrivilege sont requis.
Le gestionnaire dépend de Pypykatz pour analyser le dump LSASS, et Impacket pour analyser les sauvegardes du registre. Ils doivent être installés dans votre environnement. Si vous voyez l'erreur All detection methods failed, il est probable que la version de Pypykatz soit obsolète.
Par défaut, MultiDump utilise le Comsvc.dll méthode et enregistre le dump chiffré dans le répertoire courant.
Si --procdump est utilisé, ProcDump.exe sera écrit sur le disque pour vider LSASS.
En mode distant, MultiDump se connecte à l'écouteur du gestionnaire
La clé est chiffrée avec l'adresse IP et le port du gestionnaire. Lorsque MultiDump se connecte via un proxy, le gestionnaire doit utiliser le --override-ip option permettant de spécifier manuellement l'adresse IP pour la génération de clé en mode distant, garantissant ainsi le bon fonctionnement du décryptage en faisant correspondre l'adresse IP de décryptage avec l'adresse IP attendue définie dans MultiDump -r.
Une option supplémentaire pour vider le SAM, SECURITY et SYSTEM des ruches sont disponibles avec --reg, le processus de décryptage est le même que celui des dumps LSASS. Il s'agit plutôt d'une fonctionnalité pratique pour effectuer un post-exploitation
lsass ou Local Security Authority Subsystem Service est un exécutable qui est nécessaire pour le bon fonctionnement de Windows. Il assure l'identification des utilisateurs. Pour Windows 2000 et les versions postérieures, les utilisateurs du domaine sont identifiés d'après les informations de l'annuaire Active Directory
MultiDump est un post exploitation outil écrit en C pour dumper et extraire la mémoire LSASS discrètement, sans déclencher d'alertes Defender, avec un gestionnaire écrit en Python
MultiDump prend en charge le vidage LSASS via ProcDump.exe ou comsvc.dll, il propose deux modes : un mode local qui crypte et stocke le fichier de vidage localement et un mode distant qui envoie le vidage à un gestionnaire pour décryptage et analyse.
usage
Comme pour tous les outils liés à LSASS, les privilèges Administrator/SeDebugPrivilege sont requis.
Le gestionnaire dépend de Pypykatz pour analyser le dump LSASS, et Impacket pour analyser les sauvegardes du registre. Ils doivent être installés dans votre environnement. Si vous voyez l'erreur All detection methods failed, il est probable que la version de Pypykatz soit obsolète.
Par défaut, MultiDump utilise le Comsvc.dll méthode et enregistre le dump chiffré dans le répertoire courant.
Si --procdump est utilisé, ProcDump.exe sera écrit sur le disque pour vider LSASS.
En mode distant, MultiDump se connecte à l'écouteur du gestionnaire
La clé est chiffrée avec l'adresse IP et le port du gestionnaire. Lorsque MultiDump se connecte via un proxy, le gestionnaire doit utiliser le --override-ip option permettant de spécifier manuellement l'adresse IP pour la génération de clé en mode distant, garantissant ainsi le bon fonctionnement du décryptage en faisant correspondre l'adresse IP de décryptage avec l'adresse IP attendue définie dans MultiDump -r.
Une option supplémentaire pour vider le SAM, SECURITY et SYSTEM des ruches sont disponibles avec --reg, le processus de décryptage est le même que celui des dumps LSASS. Il s'agit plutôt d'une fonctionnalité pratique pour effectuer un post-exploitation
Création de MultiDump
Ouvrir dans Visual Studio, intégrer libérer mode.
Personnalisation de MultiDump
Il est recommandé de personnaliser le binaire avant la compilation, par exemple en modifiant les chaînes statiques ou la clé RC4 utilisée pour les chiffrer, pour ce faire, un autre projet Visual Studio EncryptionHelper, est inclus. Changez simplement la clé ou les chaînes et la sortie du fichier compilé. EncryptionHelper.exe peut être collé dans MultiDump.c et Common.h
L'auto-suppression peut être activée en décommentant la ligne suivante dans Common.h
Pour échapper davantage à l'analyse des chaînes, la plupart des messages de sortie peuvent être exclus de la compilation en commentant la ligne suivante dans Debug.h