域渗透——Hook PasswordChangeNotify

最新推荐文章于 2023-09-27 07:32:04 发布
最新推荐文章于 2023-09-27 07:32:04 发布
阅读量145 收藏
点赞数
文章标签: 操作系统 php
原文链接:https://juejin.im/post/5aa11939518825555d46d241
版权

三好学生 · 2016/03/21 10:30

0x00 前言

在之前的文章中介绍了两种维持域控权限的方法——SSPSkeleton Key,这两种方法均需要借助Mimikatz来实现,或多或少存在一些不足,所以这次接着介绍一个更加隐蔽且不需要使用Mimikatz的后门方法——Hook PasswordChangeNotify.

0x01 简介

Hook PasswordChangeNotify这个概念最早是在2013年9月15日由clymb3r提出,通过Hook PasswordChangeNotify拦截修改的帐户密码。

需要了解的相关背景知识如下:

  1. 在修改域控密码时会进行如下同步操作:

    a. 当修改域控密码时,LSA首先调用PasswordFileter来判断新密码是否符合密码复杂度要求 b. 如果符合,LSA接着调用PasswordChangeNotify在系统上同步更新密码

  2. 函数PasswordChangeNotify存在于rassfm.dll

  3. rassfm.dll可理解为Remote Access Subauthentication dll,只存在于在Server系统下,xp、win7、win8等均不存在

  4. 可以使用dumpbin查看rassfm.dll导出函数来验证结论2:

    #!bash
dumpbin /exports c:\windows\system32\rassfm.dll
复制代码

如图

0x02 特点

对于之前介绍过的Security Support Provider,在实际使用过程中不可避免的会有以下不足:

  1. 安装后需要重启系统
  2. 需要在System32文件夹下放置dll
  3. 需要修改注册表

而使用Hook PasswordChangeNotify却有如下优点:

  1. 不需要重启
  2. 不需要修改注册表
  3. 甚至不需要在系统放置dll

可以说在隐蔽性上,使用Hook PasswordChangeNotify优于Security Support Provider

0x03 技术实现

根据clymb3r提供的poc,实现Hook PasswordChangeNotify共包含两部分:

1、Hook dll

下载链接:
github.com/clymb3r/Mis…
(1)为PasswordChangeNotify创建一个inline Hook,将初始函数重定向到PasswordChangeNotifyHook
(2)在PasswordChangeNotifyHook中实现记录密码的操作,然后重新将控制权交给PasswordChangeNotify

2、dll注入

可以利用 Powershell tricks中的Process Injection将我们自己编写的dll注入到lsass进程,实现Hook功能

0x04 实际测试

测试环境:

Server 2008 R2 x64
Server 2012 R2 x64
复制代码

测试步骤:

1、生成Hook dll

poc下载地址:
github.com/clymb3r/Mis…

使用VS2015开发环境,MFC设置为在静态库中使用MFC
编译工程,生成HookPasswordChange.dll

2、生成dll注入的powershell脚本

下载Powershell的dll注入脚本
github.com/clymb3r/Pow…

在代码尾部添加如下代码:

Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll –procname lsass

并命名为HookPasswordChangeNotify.ps1

3、Hook PasswordChangeNotify

上传HookPasswordChangeNotify.ps1和HookPasswordChange.dll

管理员权限执行:

#!bash
PowerShell.exe -ExecutionPolicy Bypass -File HookPasswordChangeNotify.ps1
复制代码

如图

4、自动记录新密码

在Server 2012 R2 x64下,手动修改域控密码后
在C:\Windows\Temp下可以找到passwords.txt,其中记录了新修改的密码

如图

在Server 2008 R2 x64下,同样成功

如图

0x05 小结

本文依旧是对常规功能做了演示,后续可自定义dll代码实现更多高级功能,如自动上传新密码。

以下链接中的代码可作为参考,其中实现了将获取的新密码上传至Http服务器

carnal0wnage.attackresearch.com/2013/09/ste…

使用Hook PasswordChangeNotify来记录新密码,如果放在以前,进程注入的操作很容易被检测,但是得益于Powershell应用的发展,通过Powershell来进程注入可以绕过常规的拦截。

当然,Hook PasswordChangeNotify仅仅是众多Hook方法中的一个。

我已经Fork了clymb3r的代码,并结合本文需要的代码做了更新,下载地址如下:

github.com/3gstudent/H…

0x06 参考资料

本文由三好学生原创并首发于乌云drops,转载请注明

weixin_33682790
关注
控权限持久化之Hook PasswordChangeNotify
谢公子的博客
02-27 1540
Hook PasswordChangeNotify Hook PasswordChangeNotify是作用是当用户修改密码后再系统中进行同步。攻击者可以利用该功能获取用户修改密码时输入的密码明文。 在修改密码时,用户输入新密码后,LSA会调用PasswordFileter来检查该密码是否符合复杂性要求。如果密码符合复杂性要求,LSA会调用PasswordChangeNotify,在系统中同步...
Hook PasswordChangeNotify 自动记录用户修改的明文密码
最新发布
内心不种满鲜花就会长满杂草
10-09 114
Hook PasswordChangeNotify 的作用是当用户修改密码后在系统中进行同步。攻击者可以利用该功能获取用户修改密码时输入的密码明文。
权限维持】-Hook PasswordChangeNotify
qq_41617902的博客
01-20 285
Hook PasswordChangeNotify
渗透——Hook PasswordChangeNotify (windows系统密码记录dll)
夜班机器人的博客
03-30 1013
HookPasswordChange:http://wooyun.jozxing.cc/static/drops/tips-13079.html
mfc获取密码框_权限维持 | 改密码我也能获取你的密码 | Hook PasswordChangeNotify 攻击...
weixin_39926191的博客
12-06 75
渗透攻击红队一个专注于红队攻击的公众号大家好,这里是渗透攻击红队的第 40 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更Hook PasswordChangeNotifyHook PasswordChangeNotify 的作用是当用户修改密码后在系统中进行同步。攻击者可以利用该功能获取用户修改密码时输入的密码明文。在修改密码时,用户输入新密码后,...
Skeleton Key(万能密码)与 Hook PasswordChangeNotify
qq_41320638的博客
07-09 829
1、Skeleton Key 使用Skeleton Key(万能密码),可以对内权限进行持久化操作 Skeleton Key特点: Skeleton Key被安装在64位控服务器上 支持Windows Server2003—Windows Server2012 R2 能够让所有用户使用同一个万能密码进行登录 现有的所有用户使用原密码仍能继续登录 重启后失效 使用mimikatz注入Skeleton Key 远程控制器主机名:DC IP:192.168.111.3 用户名:ad.
HOOKAPI(二)——HOOK自己程序的MessageBox
02-26
以下将给出一个简单的例子,作为HOOKAPI的入门。这里是HOOK自己程序的MessageBox,即将自己程序对MessageBoxAPI的调用重定向到自己实现的API中,在自己定义的API中实现内容的替换。需要注意的是,本例子的HOOK仅仅对...
HOOKAPI(三)——HOOK所有程序的MessageBox
02-02
本实例要实现HOOKMessageBox,包括MessageBoxA和MessageBoxW,其实现细节与HOOKAPI(二)中介绍的基本类似,唯一不同的是,本实例要实现对所有程序的HOOKMessageBox,即无论系统中哪一个程序调用MessageBox都会被...
权限维持-HOOK-DLL加载
m0_64815693的博客
06-02 808
权限维持-HOCK-DLL加载
内网渗透(七十三)之后渗透密码收集之 Hook PasswordChangeNotify
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-15 585
2013年九月,安全研究员Mubix发布了一个恶意的Windows密码过滤DLL。通过安装这个密码过滤DLL,可以在用户更改密码时拦截用户输入的明文密码并保存到本地,同时不会影响该用户更改密码的正常操作流程。但是,安装此密码过滤DLL需要重新启动计算机才能生效,并且它将显示为一个自动运行和一个加载的DLL在lsass.exe进程中,有可能会被安全人员发现。
渗透Hook PasswordChangeNotify实现数据安全
UneDatabase的博客
09-27 69
总结起来,通过使用Hook PasswordChangeNotify函数,我们可以在内实现数据安全增强措施,监控和拦截密码更改操作,并采取相应的措施来提高数据安全性。总结起来,通过使用Hook PasswordChangeNotify函数,我们可以在领内实现数据安全增强措施,监控和拦截密码更改操作,并采取相应的措施来提高数据安全性。在实际应用中,请确保遵守法律法规,并咨询安全专家的建议。函数,该函数接收用户名和新密码作为参数,并在函数中加载密码过滤器DLL,并调用其中的Hook函数来执行特定的操作。
【基础篇】————28、横向渗透
Fly_鹏程万里
05-27 2817
0x00 端口渗透 端口扫描 端口的指纹信息(版本信息) 端口所对应运行的服务 常见的默认端口号 .尝试弱口令 端口爆破 hydra 端口弱口令 NTScan Hscan 自写脚本 端口溢出 smb ms08067 ms17010 ms11058 ... apacheftp... 常见的默认端口 1、web类(web漏洞/敏感目录) 第三方通用组...
如何获取全用户明文密码
热门推荐
zz_strive_2012的专栏
03-21 1万+
简介 在组策略之外,Windows 允许你自定义密码策略,滥用这个机制可以实现一些恶意行为。今天为大家科普下 当我们按下 CTRL + ALT + DEL,修改用户密码时,在 Windows 服务器端,会发生什么呢? 首先,Windows 服务器(控)会检查注册表,找到 Password Filter,也就是 LSA Notification Package。然后挨个调用DLL
Windows横向渗透
yanhong86的博客
09-20 3433
环境拓扑 我们的目的是获取redhook.DA的一个可用的账户,当前攻击者已在公司网络内,但并未在同一个子网。 Compromising Client 1 假设我们已经获取到了Client1的登陆凭据,如果网络足够大,你可以发现存储在某处网络共享上面的其他凭据(通过批量的脚本:vbs,ps1,.net等等)。关于怎么访问网络,你可以使用Cobalt Strike框架。
渗透测试入门9之渗透
鹿鸣天涯
04-03 1244
渗透测试入门9之渗透 信息搜集 powerview.ps1 Get-NetDomain - gets the name of the current user's domain Get-NetForest - gets the forest associated with the current user's domain Get-NetForestDomains - gets all...
[内网渗透]—权限维持
Sentiment的博客
12-16 1827
当拿到控权限后,使用mimikatz可以注入Skeleon Key,将 Skeleton Key 注入控制器的 lsass.exe 进程,这样会在内的所有账号中添加一个 Skeleton Key,而这个key是自己设定的所以可以随时共享访问。PS:由于注入到lsass.exe进程中,所以每次关机后就不存在了,但一般在真正的环境中,控在很长一段时间内是不会重启的,因此可以作为权限维持的一种方式。
使用渗透测试框架Xposed Framework hook调试Android APP
chiruanxiao2898的博客
01-16 297
http://www.freebuf.com/articles/terminal/56453.html 转载于:https://my.oschina.net/u/554222/blog/3...
iOS开发:Method Swizzling探秘——Hook消息机制
在iOS开发中,实现hook消息机制是一种常见的技术,特别是在需要动态替换或增强现有类的行为时。本文主要探讨了一种关键的实现方法,即Method Swizzling。Method Swizzling是Objective-C语言中的一种动态行为,它允许...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值