「安全研究」从mimikatz学习万能密码——下

最新推荐文章于 2023-09-11 23:30:14 发布
最新推荐文章于 2023-09-11 23:30:14 发布
阅读量532 收藏
点赞数
分类专栏: 程序员 安全 网络 文章标签: 1024程序员节 网络安全 安全 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/120933630
版权
本文详细分析了mimikatz中的skeleton攻击,探讨了如何通过修复rc4_init和rc4_decrypt函数实现密码注入。通过hook cryptdll.dll的函数,将默认密码hash(mimikatz的hash)注入lsass进程,从而实现万能密码。文章还介绍了防御方案,如启用LSA保护和监控驱动加载日志。
摘要由CSDN通过智能技术生成

续上篇文章
我这里测了一下skeleton攻击并抓取了流量包,客户端发送的AS-REQ请求存在AES加密
在这里插入图片描述

但是域控的响应中却没有AES加密同时确实是报错STATUS_NOT_SUPPORTED

在这里插入图片描述
我们继续看下kdcsvc.dll的流程在域控通过kdcgetuserskey函数接收到用户的密码后不单单是会走
SamIRetrieveMultiplePrimaryCredentials函数同时会将密码传递给kerbhashpassword函数最终调用cryptdll.dll的导出函数CDLocateCSystem选择对应的加密系统对用户传入的凭据进行处理
在这里插入图片描述
接下来就可以看到mimikatz继续利用
kull_m_process_getVeryBasicModuleInformationsForName函数也是通过pebldr从lsass进程中获取cryptdll.dll的模块信息,同时获取了该dll的句柄保存在localaddr中
在这里插入图片描述
然后通过CDLocateCSystem函数找到RC4类型的加密系统存储在pCrypt结构体中,可以看到该加密类型的一系列函数存储在结构体中
在这里插入图片描述
接下来给最开始定义的extensions赋值,将cryptdll.dll!rc4HmacInitialize,cryptdll.dll!rc4HmacDecrypt函数地址传入
在这里插入图片描述
接下来
kull_m_remotelib_CreateRemoteCodeWitthPatternReplace函数中传入了几个函数名其实是传入函数的地址
在这里插入图片描述
在这里插入图片描述
第一个参数是lsass进程的内存属性,第二个是rc4_init函数的地址,第三个参数rc4_end函数地址-rc4_init函数地址代表的是rc4_init到rc4_end之间的内存内容其实这块空间包含了init函数decrypt两块函数内容,第四个参数是存储

最低0.47元/天 解锁文章
IT老涵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
内网权限维持 —— 后门
战神/calmness的博客
12-09 1162
目录 操作系统后门 粘滞键 注册表注入 计划任务 meterpreter Cymothoa WMI型 web 后门 Nishang 下的webshell weevely webacoo ASPX meterpreter PHP meterpreter 域控制器权限持久化 DSRM 域后门 SSP 维持域控权限 SID History 域后门 Golden Ticket Silver Ticket Skeleton Key Hook PasswordChangeNot
1. Web安全—渗透测试用例—弱口令/空口令
最新发布
weixin_43567873的博客
03-20 1465
1. Web安全—渗透测试用例—弱口令/空口令
安全研究】从mimikatz学习万能密码
ZAWX_NETSTARSEC的博客
09-24 522
1.背景介绍2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻ji活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻ji者可以使用Skeleton Key密码作为任何...
mimikatz使用哈希 ntlm传递 票据传递
YouthBelief的博客
12-16 2015
(1)管理员运行 (2)必须输入 privilege::debug (3)在目标主机使用mimikatz获取ntlm hash winserver 2012R2 之前版本 可以获取到明文密码 sekurlsa::logonpasswords (4) 哈希传递 将哈希值 传递到其他计算机上 进行登录域控验证 sekurlsa::pth /user:administrator /domain:yxy.youthbelief.com /ntlm:d45400035583e3e53a63620875a6
mimikatz最新版本地hash抓取神器
06-08
mimikatz大神们都知道的东西吧,渗透测试常用工具。法国一个牛B的人写的轻量级调试器,可以帮助安全测试人员抓取Windows密码。mimikatz 最近发布了它的2.1版本,抓密码命令更加简单了!
mimikatz hash传递--获取域控权限
qq_46635165的博客
10-18 1998
mimikatz hash传递–获取域控权限 实验环境 实验环境:win_server2012 ip:192.168.3.132 (域内普通用户,有本地管理员权限,但不知明文密码) win_server2008 ip:192.168.3.133 (DC域控,与server2012管理员密码相同,但不知明文密码) 此时,你已经拿下了域内一普通用户win_server2012 实验步骤 1,将mimikatz上传至win_server2012; 2,cd 至mimikatz目录; 3,使用reg命令,将注册表
哈希处理介绍-使用Mimikatz以及John对Windows用户密码破解
ran的博客
02-06 6892
Windows系统使用两种算法对用户的密码进行哈希处理, 它们分别是LM-hash算法和NTLMhash算法。所谓哈希(hash) , 就是使用一种加密函数对其进行加密。这个加密函数对一个任意长度的字符串数据进行一次数学加密函数运算,然后返回一个固定长度的字符串。Windows的系统密码hash默认情况下一般由两部分组成:第一部分是LM-hash, 第二部分是NTLM-hash。通常可从Windows系统中的SAM文件和域控制器的NTDS.dit文件中获得所有用户的hash。
安全研究】从mimikatz学习万能密码——上
HBohan的博客
10-23 516
1.背景介绍 2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻击活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻击者可以使用Skeleton Key密码作为任何域用户登录 【资料查看】 (http://www.secureworks.com/cyber-threat-intelligence/threats/skeleton-key-malware
⽹络安全学习计划
qq_45541451的博客
07-15 6667
网络安全脚本小子学习计划 如何成为脚本小子第N天,制定的学习计划 网络安全的具体学习计划网络安全脚本小子学习计划第⼀阶段~信息安全基础1、信息安全基础2、nmap安装与使⽤3、burpsuite安装与使⽤⼆、Web基础三、Web安全⼊⻔四、信息收集五、漏洞原理第⼆阶段~基础知识学习⼀、程序设计⼆、⽹络技术三、Linux四、数据库拓展第三阶段~渗透测试实战与⽹络安全⼀、web安全基础与拓展⼆、web安全攻防⼀、环境搭建⼆、WEB安全⼯具基础部分三、常⻅web漏洞解析四、web安全⼯具进阶及拓展五、web安全
内网渗透的一些tips
三天不打上房揭瓦的博客
04-25 619
声明:文中涉及到的技术和工具,仅供学习使用,禁止从事任何非法活动,如因此造成的直接或间接损失,均由使用者自行承担责任。
005--Hash读取与端口转发
weixin_44508748的博客
07-06 1135
test
内网渗透系列之mimikatz的使用以及后门植入
lza20001103的博客
09-04 4378
内网渗透系列之mimikatz的使用以及后门植入 文章目录内网渗透系列之mimikatz的使用以及后门植入前言mimikatz的使用后门植入msf永久后门植入(1)Meterpreter后门:Metsvc(2)Meterpreter后门:PersistenceNC后门后记 前言 内网渗透最重要的环节就是权限维持,当我们获取到靶机的权限后,当对方的机器关机后,我们所获取的会话也会跟着消失,也就是说当他重新开启后,我们又得重新进行信息收集,漏洞利用,又重复着上一个渗透的过程,工程量就很大了。所以,为了能一直维持
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 2892
参考国外的XPN以及3gstudent大佬的文章: https://blog.csdn.net/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
3CTF的两道流量分析
Laurel_60的博客
11-06 2634
3CTF的两道流量分析题目,一个盲注,一个DPAPI解密获取Chrome密码。 真令人头秃。
Windows 的 PPL 安全机制和绕过
dzqxwzoe的博客
09-11 377
Windows 从 vista 版本引入一种进程保护机制(ProcessProtection),用于更进一步的控制进程的访问级别,在此之前,用户只需要使用令牌权限即可获取任意进程的所有访问权限;随后Windows8.1 在此进程保护的基础上,扩展引入了进程保护光机制(Protected ProcessLight),简称PPL机制,其能提供更加细粒度化的进程访问权限控制,。本文将介绍 Windows 的 PPL 安全机制,以及在实验环境下如何绕过该机制,从而实现对 PPL 的进程进行动态调试。
内网渗透-hash传递
weixin_44912035的博客
02-09 447
passingthehash 获取hash值 run post/windows/gather/smart_hashdump 检查权限和系统类型 检查是否是域控服务器 从注册表读取hash,注入lsass进程 如果是08server并具有管理员权限直接getsystem 如果是windows且uac关闭具有管理员权限,直接读取 03/xp直接getsystem 从注册表获取hash 获取到meterpreter,先进程迁移再提权,然后hashdump hash传递 exploit/windows/smb/p
PPL攻击详解
hongduilanjun的博客
11-01 3887
PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并符合DRM(数字版权管理)要求。Microsoft开发了此机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是映像文件(即可执行文件)必须使用特殊的Windows Media证书进行数字签名(如Windows Internals的“受保护的过程”部分所述)。
域内权限维持:注入SSP
01-29 594
01、简介 SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样,即使用户更...
mimikatz查看win10密码
05-13
在此仅提供给安全研究人员或系统管理员进行安全审计和测试的参考。 以下是使用Mimikatz获取Win10密码的步骤: 1. 首先,下载最新版本的Mimikatz工具,并解压缩到本地文件夹中。 2. 在管理员权限的命令提示符下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值