DumpingLSASSWithNoMimikatz）

LSASS.exe是Windows操作系统中的一个进程，它负责本地安全认证子系统。如果您想dump LSASS，可以使用PsExec工具。

Dumping LSASS With No Mimikatz

介绍：

在Windows操作系统中，LSASS（本地安全认证子系统）是一个关键的进程，它负责处理用户登录和权限验证，在某些情况下，攻击者可能会尝试获取LSASS的内存内容，以获取敏感信息或进行进一步的攻击，由于微软对LSASS的保护不断加强，使用Mimikatz等工具来提取LSASS内存变得越来越困难，本文将介绍一种不使用Mimikatz的方法来转储LSASS。

单元1：使用PsExec工具

PsExec是Sysinternals套件中的一个实用程序，它可以在远程系统上执行命令，通过使用PsExec，我们可以在目标系统上创建一个临时的远程桌面会话，并在此会话中运行PowerShell命令来转储LSASS。

步骤：

1、下载并安装PsExec工具。

2、打开命令提示符或PowerShell窗口。

3、使用以下命令创建远程桌面会话：

“`

PsExec i s d powershell.exe

“`

4、这将在目标系统上打开一个远程桌面会话，现在，您可以在该会话中运行任何PowerShell命令。

5、输入以下命令来转储LSASS：

“`

DumpLSASecrets > lsass_dump.txt

“`

6、这将把LSASS的内存内容保存到名为lsass_dump.txt的文件中。

7、完成后，关闭远程桌面会话。

单元2：使用Metasploit框架

Metasploit是一款功能强大的渗透测试工具，它提供了许多模块来执行各种攻击和利用任务，Metasploit框架也可以用来转储LSASS的内存内容。

步骤：

1、下载并安装Metasploit框架。

2、打开Metasploit控制台。

3、搜索"windows/gather/lsadump"模块。

4、选择该模块并设置参数，例如目标IP地址、目标会话类型等。

5、运行该模块，它将尝试转储LSASS的内存内容。

6、如果成功，模块将返回LSASS内存内容的详细信息。

7、可以使用这些信息来进行进一步的分析和攻击。