Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

修复Hashdump Mimikatz execute-assembly 等功能inject时问题 #30

Open
D1sAbl4 opened this issue Oct 20, 2022 · 4 comments
Open

修复Hashdump Mimikatz execute-assembly 等功能inject时问题 #30

D1sAbl4 opened this issue Oct 20, 2022 · 4 comments

Comments

@D1sAbl4
Copy link

D1sAbl4 commented Oct 20, 2022

起因突然发现使用Hashdump 在x86 进程下无法使用

报了一个an x86 process (can't inject x64 content) 错误, 难道x86进程使用的是x64位反射dll?

image

答案是确实是这样的, 主要原因还是出在BeaconEntry中的is64()方法, 这个方法判断是当前主机是否是x64的

可以看到当前进程arch是x86, is64确为true

image

所以解决方法显而易见, 传入inject方法的arch直接用arch()获取

image

我发现还影响Mimikatz execute-assembly powerpick , 如上修复即可

image
image

有趣的是portscan确用的arch()获取, 应该不是同一个开发写的

image

现在在x86进程上没有报错了, 但是确无法dump hash, 这可能是hashdump x86反射dll问题吧........

image
@D1sAbl4
Copy link
Author

D1sAbl4 commented Oct 20, 2022

看起来好像在CS 4.5 中, 这个hashdump功能在主机为x64情况下 进程arch为x86或x64 它都是使用hashdump.x64.dll 能成功 , 主机为x86架构下使用 hashdump.dll能成功

这应该是CS 4.4 bug , 这样修复好像也没啥用就是解决在x64主机上x86的beacon进程不报错, 但是无法实现

@D1sAbl4
Copy link
Author

D1sAbl4 commented Oct 20, 2022

算了 不改了, 以后用CS遵循在系统为x64 都使用x64的shellcode , 不使用x86的beacon shellcode, 因为在系统为x64的情况下x86 beacon 会有一些反射dll功能实现不了

@TryGOTry
Copy link
Owner

这东西有bug,是这样的

@Joackk
Copy link

Joackk commented Nov 1, 2022

算了 不改了,以后用CS跟随在系统为x64 都使用x64的shellcode ,不使用x86的beacon shellcode ,因为在系统为x64的情况下x86 beacon 会有一些反射dll功能

大佬请问下这个可以设置中文吗?

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

No branches or pull requests
3 participants
@Joackk @TryGOTry @D1sAbl4