Извлечение NTLM hash пользователя из процесса lsass.exe с помощью уязвимого драйвера
Приветствую вас, дорогие читатели! Сегодня я хочу рассказать о том, как с помощью уязвимого драйвера получить NTLM hash пользователя. NTLM hash находится в памяти процесса lsass.exe операционной системы Windows. Процесс lsass.exe отвечает за авторизацию локального пользователя компьютера.
По этой теме я нашел несколько статей:
1. A physical graffiti of LSASS: getting credentials from physical memory for fun and learning.
2. [EX007] How playing CS: GO helped you bypass security products.
Разобрав эти статьи, у меня появилось желание объединить их для лучшего понимания метода извлечения NTLM hash’а из памяти процесса lsass.exe.
Важные замечания:
· Все действия будут проводится на Windows 10 версии 1909 сборка 18363.1556.
· Название разработанного приложения для этой статьи будет shor.exe.
Читать далееИсточник: Хабрахабр