探索密码泄露的新世界:MimiPenguin 2.0

于 2024-05-11 09:55:06 发布
阅读量739 收藏 11
点赞数 19
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00059/article/details/138702049
版权

探索密码泄露的新世界:MimiPenguin 2.0

alt text

1、项目介绍

在网络安全领域中,MimiPenguin 2.0 是一个独特且强大的工具,灵感来源于著名的Windows工具mimikatz。这个开源项目已经引起了业界的广泛关注,并被赋予了CVE-2018-20781安全漏洞标识。MimiPenguin巧妙地利用了Linux桌面环境中的明文凭证,从内存中提取可能包含密码的行。它的2.0版本采用了优化的C语言重写,显著提升了执行速度和跨平台性。

2、项目技术分析

MimiPenguin的核心在于捕获内存中的敏感信息,它尝试计算每个单词的概率,通过检查 /etc/shadow 中的哈希值、内存中的哈希值以及正则表达式搜索。此外,其C语言实现版进一步提升了效率,确保在多种环境下都能有效运行。尽管存在一些已知问题,如32位版本在64位用户空间中可能失败,但开发团队正在积极改进和完善。

3、项目及技术应用场景

  • 系统支持:MimiPenguin已在多个主流Linux发行版上进行了测试,包括Kali Linux、Ubuntu Desktop、ArchLinux等。
  • 应用广泛:它可以用于提取GDM、Gnome Keyring、LightDM等各种登录密码,甚至可以挖掘VSFTPd的FTP连接密码、Apache2的HTTP基本认证会话,以及OpenSSH的活跃SSH连接(需要sudo权限)。

4、项目特点

  • 无需密码:仅需root权限即可运行。
  • 多平台兼容:C语言重构提高了对不同架构的支持。
  • 高效检索:针对内存中的密码进行精确抓取,尽管可能受内存变动影响,但仍在不断优化中。
  • 社区驱动:开放源代码,接受Pull Request,鼓励社区成员参与贡献和研究。

开发路线图与联系方式

开发团队计划继续扩展支持更多的凭证位置和非桌面环境,并正在逐步将MimiPenguin移植到多种编程语言中。如果你想了解更多信息或参与到项目中来,可以通过以下方式联系作者:

总结

MimiPenguin 2.0是一个创新的安全工具,它揭示了密码保护的新挑战,并为安全研究人员提供了一个强大的平台,探索并应对日益复杂的网络威胁。无论是为了学术研究还是实际的安全防护,MimiPenguin都是值得您关注和使用的开源项目。立即加入,一起推动网络安全的进步吧!

毕艾琳
关注
  • 19
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
mimipenguin:一种用于从当前Linux用户转储登录密码的工具
02-27
咪咪企鹅2.0 一种从当前linux桌面用户中转储登录密码的工具。 改编自流行的Windows工具mimikatz背后的想法。 这被分配为CVE-2018-20781 ( )。 有趣的是,它在GNOME Keyring 3.27.2之后仍未修复,从3.28.0.2-1ubuntu1.18.04.1开始仍然可以3.28.0.2-1ubuntu1.18.04.1 。 细节 通过转储进程并提取很可能包含明文密码的行来利用内存中的明文凭证。 将通过检查/ etc / shadow中的哈希,内存中的哈希和正则表达式搜索来尝试计算每个单词的概率。 2.0引入了一个干净的C端口,旨在提高执行速度和可移植性 已知的问题 mimipenguin的32位变体(C构建)可能在64位用户空间中失败,因为它目前不足以搜索64位地址空间 需要 根权限 支持/测试的系统 卡里4.3.0(滚动)x64(gdm3)
linux下抓管理员hash,Linux下抓取登陆用户密码神器mimipenguin
weixin_42298507的博客
05-12 279
windows下有Mimikatz,现在linux下有了mimipenguin,国外安全研究员huntergregal发布了工具mimipenguin,一款Linux下的密码抓取神器,弥补了Linux下密码抓取的空缺。编写思路来自流行的windows密码抓取神器mimikatz详情通过转储过程和提取那些包含明文密码可能性很高的行(hang),充分利用内存中的明文凭证。通过检查/etc/shadow...
linux 内存 取密码,linux下抓取内存中明文密码mimipenguin(示例代码)
weixin_35218304的博客
04-30 147
基本使用语法:[emailprotected]:~/eth10/eth10#wgethttps://codeload.github.com/huntergregal/mimipenguin/zip/master--2017-08-1908:25:09--https://codeload.github.com/huntergregal/mimipenguin/zip/master……[e...
linux抓密码工具下载,MimiPenguin
weixin_29065659的博客
04-30 92
MimiPenguin 2.0A tool to dump the login password from the current linux desktop user. Adapted from the idea behind the popular Windows tool mimikatz. This was assigned CVE-2018-20781 (https://cve.mitr...
linux读用户密码,Mimipenguin:读取当前登录用户密码(Linux下的Mimikatz)
weixin_36200490的博客
04-29 488
mimipenguinA tool to dump the login password from the current linux desktop user. Adapted from the idea behind the popular Windows tool mimikatz.DetailsTakes advantage of cleartext credentials in memo...
projectlogist:懒人2.0
03-13
"projectlogist:懒人2.0"是一个项目,它可能是为提高效率或自动化某些任务而设计的。从标签"C++"我们可以推断,这个项目是使用C++编程语言实现的。C++是一种强大的、面向对象的编程语言,广泛应用于系统软件、游戏...
Talk Is Cheap:Web 2.0 云攻击.zip
10-25
《Talk Is Cheap:Web 2.0 云攻击》这篇文档深入探讨了Web 2.0环境下云服务面临的安全挑战。Web 2.0是指互联网发展的一个阶段,它强调用户参与、互动和共享,催生了诸如社交媒体、博客、在线协作平台等大量应用。...
oauth2.0:oauth2.0
06-09
OAuth2.0 是一个授权框架,它允许第三方应用在用户许可的情况下访问其受保护的资源,而无需获取用户的用户名和密码。这个框架广泛应用于互联网服务,如社交媒体、云存储和在线支付平台,使得用户能够在不泄露敏感...
Sable_Business_Directory:版本2.0
04-12
3. 数据安全增强:在新版本中,可能会加强数据加密和权限控制,确保商业信息的安全,防止未经授权的访问和泄露。 4. 新增API接口:SBD 2.0可能提供了RESTful API,允许第三方应用集成,拓宽了其在企业信息化解决...
Tranformers-Tf2.0:Tensorflow 2.0中Tranformer架构的实现
03-30
**Transformer架构在TensorFlow 2.0中的实现** Transformer模型是由Vaswani等人在2017年的论文《Attention is All You Need》中提出的,它彻底改变了序列建模领域,尤其是在自然语言处理(NLP)任务中。该模型放弃...
使用mimipenguin实现从当前 Linux 用户转储登录密码
weixin_34072458的博客
09-08 119
2019独角兽企业重金招聘Python工程师标准>>> ...
linux下抓密码,Linux下抓取登陆用户密码神器mimipenguin
weixin_36407256的博客
04-30 562
windows下有Mimikatz,现在linux下有了mimipenguin,国外安全研究员huntergregal发布了工具mimipenguin,一款Linux下的密码抓取神器,弥补了Linux下密码抓取的空缺。编写思路来自流行的windows密码抓取神器mimikatz 详情通过转储过程和提取那些包含明文密码可能性很高的行(hang),充分利用内存中的明文凭证。通过检查/etc/shado...
linux克隆系统用户名密码,使用mimipenguin实现从当前 Linux 用户转储登录密码
weixin_39937412的博客
05-02 210
导读mimipenguin 是一个免费、开源、简单但是强大的 shell/python 脚本,用来从当前 Linux 桌面用户转储登录凭证(用户名和密码),并且已在不同的 Linux 发行版中测试过。另外,它还支持如:VSFTPd(活跃的 FTP 客户端连接)、Apache2(活跃的/旧的 HTTP 基础认证会话,但是这需要 Gcore),还有 openssh-server(活跃的 SSH 链接,...
mimipenguin以及mimikatz神器的使用。
max_ss的专栏
11-15 3805
参考:http://www.4hou.com/info/news/4213.html 1. mimipenguin 下载: https://github.com/huntergregal/mimipenguin os:kali-linux 必须是root权限 下载后进入目录直接运行  ./mimipenguin  即可;然后直接得到账号密码信息。   2.mimikatz 下载...
内网安全——ssH协议&Windows&Linux密码获取hashcat
m0_61506558的博客
02-20 2195
我们配置服务器时打开关联密钥时,此次漏洞就可能存在。Hashcat号称宇宙最强密码破解工具,其是一款开源软件,有针对Windows、Mac和Linux的版本,支持CPU、GPU、APU、DSP和FPGA等多种计算核心,支持多种hash散列算法,
内网安全“小迪安全课堂笔记”域横向
weixin_42902126的博客
05-09 3770
内网安全内网安全-域环境&工作组&局域网探针方案基本认知域环境与工作组的区别环境靶机案例 1-基本信息收集操作演示案例 2-网络信息收集操作演示案例 3-用户信息收集操作演示案例 4-凭据信息收集操作演示计算机用户 HASH,明文获取-mimikatz(win),mimipenguin(linux)计算机各种协议服务口令获取-LaZagne(all),XenArmor(win)案例 5-探针主机域控架构服务操作演示涉及资源域横向批量at&schtasks&impacket 内
密码安全攻防技术精讲
GitChat
07-03 3007
课程介绍 本课程内容将以作者亲身经历的事情为主,从技术的视野和攻防角度来剖析各种密码及其他技术对工作和个人生活的影响,将“高高在上”的技术拉进我们日常的生活中来。每一篇文章都是精挑细选的典型案例,背后都有真实故事和场景,以技术的方式来再现和还原。 非技术专业读者可以通过这些文章来了解和预防各种涉及密码的攻击,从事技术工作的读者可以按照文章的搭建环境进行实战实践。由于篇幅有限,密码攻防涉及的技术非常...
"swaggerVersion":"2.0漏洞
最新发布
07-29
对于Swagger的版本2.0,有一些已知的漏洞和安全问题。其中一些漏洞包括: 1. 信息泄露:在公开可访问的Swagger文档中,可能会包含敏感信息,如API密钥、用户名、密码等。 2. 跨站脚本攻击(XSS):如果未对输入数据进行充分的验证和转义,攻击者可以在Swagger UI中注入恶意脚本,从而导致XSS攻击。 3. 跨站请求伪造(CSRF):未实施适当的CSRF保护措施可能导致攻击者利用用户的身份进行未经授权的操作。 4. 服务端请求伪造(SSRF):如果未对URL参数进行充分验证和过滤,攻击者可以构造恶意请求,从而导致服务器端发起未经授权的请求。 5. 接口枚举攻击:攻击者可以使用Swagger文档中提供的信息来枚举系统中的API接口,从而发现隐藏的功能或安全漏洞。 为了保护Swagger文档和API安全,建议采取以下措施: 1. 对于公开可访问的Swagger文档,确保其中不包含敏感信息,并限制对文档的访问权限。 2. 在Swagger UI中对输入数据进行验证和转义,以防止XSS攻击。 3. 实施适当的CSRF保护措施,如使用CSRF令牌或SameSite属性来限制跨站请求。 4. 在服务器端对URL参数进行严格的验证和过滤,以防止SSRF攻击。 5. 限制对Swagger文档的访问频率,以减少接口枚举攻击的可能性。 这些是一些常见的Swagger漏洞和安全问题,开发人员应该在使用Swagger时注意这些问题,并采取适当的安全措施来保护API。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

毕艾琳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值