[译]Skeleton Key Malware & Mimikatz

最新推荐文章于 2023-01-29 10:03:00 发布
最新推荐文章于 2023-01-29 10:03:00 发布
阅读量195 收藏
点赞数
分类专栏: windows 文章标签: shell 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82613720
版权
原文地址:
[url]http://adsecurity.org/?p=1255[/url]
[url]http://adsecurity.org/?p=1275[/url]
Skeleton Key Malware安装在一个/多个64位DC上。该软件“patch”系统来启动一个主密码来接受任何域user,包括admins。
这样就允许attacker使用他们想用的任何username和恶意软件中配置的主密码(skeleton key)来登陆。“Joe”用户可以继续使用他的密码来登陆,而attacker可以使用skeleton key来登陆Joe的账户。
关键点:
1. 需要域管理员级别权限来“patch” LSASS
2. 已经存在的账户继续正常工作
3. 添加一个新的密码允许攻击者可以以任何账户登录--这就是skeleton key
4. 域控制器也许会经历复制问题
5. 当前的Skeleton key在重启后会失效-重启DC会删除内存中“patch”。主意DC通常一个月只会重启一次
6. skeleton key只运行在64位系统中
7. mimikatz支持skeleton key功能

[img]http://dl2.iteye.com/upload/attachment/0105/6450/ebd985a6-111e-3043-abde-f16386d4853e.png[/img]

在DC中使用Mimikatz来注入skeleton key
[img]http://dl2.iteye.com/upload/attachment/0105/6452/0ce9f506-d357-3971-8f5a-550dc02dcce0.png[/img]

[color=blue][b]场景:[/b][/color]
attacker利用MS14-068(http://adsecurity.org/?p=763)或KRBTGT NTLM password hash(http://adsecurity.org/?p=483)来生成Kerberos Golden Ticket来伪装成一个合法的域管理员账户。attacker利用伪造的Kerberos TGT ticket通过PowerShell remoting来访问DC。 PowerShell remoting运行在WinRM上,并且提供一个运行在远端主机上的shell(类似ssh)。这时,attacker在DC上运行一个使用"invoke-command"来运行mimikatz命令的脚本
[img]http://dl2.iteye.com/upload/attachment/0105/6457/d9234bc4-e874-339d-92b3-d5071d7fd24f.png[/img]
验证Mimikatz Skeleton Key
1. 测试普通user
[img]http://dl2.iteye.com/upload/attachment/0105/6460/d73e073e-24e4-3eb5-bbd4-d417db8898e4.png[/img]
2. 测试域管理员
[img]http://dl2.iteye.com/upload/attachment/0105/6464/1aee53cf-443d-3e43-b261-d537701ede27.png[/img]
iteye_16188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
域控权限持久化之Skeleton Key(万能密码)
谢公子的博客
02-27 2908
使用Skeleton Key(万能密码),可以对域内权限进行持久化操作。 mimikatz注入Skeleton Key Skeleton Key攻击的防御措施 2014年,微软在Windows操作系统中增加了LSA保护策略,以防止lsass.exe进程被恶意注入,从而防止mimikatz在非允许的情况下提升到Debug权限。通用的Skeleton Key的防御措施列举如下: 域管理员用户设...
Skeleton Key(万能密码)与 Hook PasswordChangeNotify
qq_41320638的博客
07-09 751
1、Skeleton Key 使用Skeleton Key(万能密码),可以对域内权限进行持久化操作 Skeleton Key特点: Skeleton Key被安装在64位域控服务器上 支持Windows Server2003—Windows Server2012 R2 能够让所有域用户使用同一个万能密码进行登录 现有的所有域用户使用原密码仍能继续登录 重启后失效 使用mimikatz注入Skeleton Key 远程域控制器主机名:DC IP:192.168.111.3 用户名:ad.
域渗透|域权限维持之Skeleton Key
weixin_42282189的博客
09-06 561
作者:作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 0x00 前言 Skeleton Key(万能密码)方法可以对域内管理员权限进行持久化操作,使用mimikatz完成注入Skeleon Key的操作,将 Skeleton Key注入域控制器的lsass.exe进程。 0x01 测试环境 1、域名:god.com 2、域控制器: 主机名:WIN-2008dc IP地址:10.10.10.30 用户名:administrator 密码:123.com 3、域.
基于AD Event日志识别Skeleton Key后门
01-11 184
01、简介 Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作手法,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录。另外,它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。 如何发现Skelenton Key的后门行为,基于AD Ev...
Mimikatz各模块基本用法
Canterlot的博客
09-04 1696
介绍内网环境中mimikatz各模块最常用功能及用法
域内权限维持:Skeleton Key(万能密码)
01-29 537
01、简介 Skeleton Key(万能密码),是一种可以对域内权限进行持久化的操作,通过将Skeleton Key注入到lsass进程,无需重启域控即可生效,而且能够在不影响当前域用户正常登录的情况下,让所有域用户使用同一个万能密码进行登录,它只存在于内存中,如果域控制器重启,注入的 Skeleton Key 将会失效。 02、利用过程 (1)尝试以当前用户身份,查看当前网络资源的连接为空...
Skeleton Key-crx插件
04-03
语言:English ... ... ... 站点密钥是站点特定的字符串。 使用超安全的PBKDF2算法对这三部分数据进行重复加密加密。...v3中的更改:-修复了具有站点密钥建议的错误。...v2中的更改:-使用当前选项卡的URL作为站点密钥的建议。
万能钥匙「Skeleton Key」-crx插件
03-23
... ... 站点密钥是站点特定的字符串。 使用超安全的PBKDF2算法对这三部分数据进行重复加密加密。 v3中的更改:-修复了具有站点密钥建议的错误。...v2中的更改:-使用当前选项卡的URL作为站点密钥的建议。...
make_skeleton.rar_skeleton
07-15
标题 "make_skeleton.rar_skeleton" 暗示我们关注的是与骨架算法相关的主题,而“to find a new algorithm for”则表明这是一个关于寻找新算法的任务。标签 "skeleton" 确定了讨论的核心——骨架抽取(Skeleton ...
flutter_skeleton:颤振骨架屏幕
05-07
依赖将此添加到您程序包的pubspec.yaml文件中: dependencies : flutter_skeleton : ^0.1.0+12.安装运行命令: $ flutter packages get3.进口导入Dart代码: import 'package:flutter_skeleton/flutter_skeleton....
域渗透——Skeleton Key
citelao的博客
03-21 1898
域渗透——Skeleton Key 三好学生 · 2016/02/29 10:24 0x00 前言 上篇介绍了利用SSP来维持域控权限,美中不足在于其需要域控重启才能生效,而在众多的域渗透方法中,当然存在不需要域控重启即能生效的方法,所以这次就介绍其中的一个方法——Skeleton Key 0x01 简介 Skeleton Key被安装在64位的域控服务器上 支
内网渗透中mimikatz的使用
热门推荐
pyphrb的博客
07-28 4万+
0x01 简介mimikatz,很多人称之为密码抓取神器,但在内网渗透中,远不止这么简单0x02 测试环境网络资源管理模式:域 已有资源:域内一台主机权限 操作系统:win7 x64 域权限:普通用户0x03 测试目标1、获得域控权限 2、导出所有用户口令 3、维持域控权限0x04 测试过程1、获取本机信息mimikatz:privilege::debug sekurlsa::logonpas
查看域用户密码_Skeleton Key(万能密码)对域内权限维持
weixin_39756445的博客
12-13 3369
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 39 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更Skeleton Key使用 Skeleton Key(万能密码),可以对域内权限进行持久化操作。使用 mimikatz 完成注入 Skeleon Key 的操作,将 Skeleton Key 注入域控制器的 lsass.exe ...
域渗透——Hook PasswordChangeNotify
citelao的博客
03-21 1248
域渗透——Hook PasswordChangeNotify 三好学生 · 2016/03/21 10:30 0x00 前言 在之前的文章中介绍了两种维持域控权限的方法——SSP和Skeleton Key,这两种方法均需要借助Mimikatz来实现,或多或少存在一些不足,所以这次接着介绍一个更加隐蔽且不需要使用Mimikatz的后门方法——Hook PasswordChangeN
【安全研究】从mimikatz学习万能密码
ZAWX_NETSTARSEC的博客
09-24 479
1.背景介绍2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻ji活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻ji者可以使用Skeleton Key密码作为任何...
论文笔记:Skeleton Key_Image Captioning by Skeleton-attribute Decomposition
放学遛大街
08-17 831
Skeleton Key: Image Captioning by Skeleton-Attribute Decomposition 这篇文章的作者提出,人类认识图的过程,应该是先定位图片的位置和他们的关系,然后才是详尽的说明物体的属性。这篇文章基于此设计了一种coarse-to-fine的方法,首先生成skeleton sentence,然后生成相应的属性短语,最后将这两部分合成完整的capt...
Pentest - Mimikatz
Nixawk
09-12 7238
Active Directory supports two primary authentication protoc ols, NTLM and Kerberos. Modern Windows versions default to Kerberos authentication. NTLM suffers from two main weaknesses: 1) the NTLM pass
halcon skeleton
最新发布
07-25
Halcon中的skeleton算子用于提取图像中的骨架。骨架的构造方式是将图像中的每个点看作是一个半径最大的圆的中心点,并且仍然完全包含在这个区域内。通过使用skeleton算子,可以将一个区域进行骨架化处理,最终形成一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值