0x01 前言
在真实的实战场景中,我们经常可能会遇到这样的问题,比如,通过各种主动的密码搜集方式,能搜到的真正能用的上的密码非常少,而且对方的内网防护又比较严密,为了不被尽早发现,此时又并不想 在目标内网里进行各种大规模的探测及横向活动,这个时候,你就可以利用手中现有已控的某几台关键机器,通过各种"密码记录"这种被动式的密码搜集方式,来获取更多关键性的系统账号密码,然后再 利用这些账号密码去撞内网其它的一些关键机器,此方式通常都比较隐蔽且可靠,一般的网管和监控很难及时有效察觉
0x02 伪造 SSP 截获目标系统所用用户登录时的明文账号密码
简单原理,所谓的 ssp 简单理解其实就是一个用于 windows 身份认证的 dll,在系统启动时 dll 会被加载到 lsass.exe 进程中,那也就是说,我们完全可以自定义一个 dll 来伪造 ssp,以此来从 lsass.exe 进程中提取用户登录时的明文账号密码,ok,废话不多讲,在 mimikatz 中早已为我们提供好了相应的功能,不过有利用两种形式
第一种,是非持久化的 SSP
直接暴力注入替换,这种方式在目标重启系统即失效,另外,注入这种操作很敏感,有可能会被杀软拦截 [ 实测 ESET 肯定会拦 ]
第二种,是持久化的 SSP
待目标重启系统 [缺陷就是,必须要重启目标系统才能生效] 时即会加载我们 dll,之后就会一直记录系统中所有登录过的明文账号密码,如下,还是那句话,这个 dll 务必要事先自行免杀 好,mimikatz 默认的记录文件位置是 c:windowssystem32mimilsa.log,我们需要把它全部改掉,记录的文件最好自定义加密保存,或者把记录的数据定时发到远程匿名邮箱,防止对方察觉
注: 利用 ssp,会自动记录包括 远程 rdp 连入 和 本地登录 的所有账号密码
0X03 通过 Hook PasswordChangeNotify 记录修改后的明文账号密码
简单原理,众所周知,在 Win Server 2008 之后的系统上默认都是强密码策略,也就是说,在修改系统用户密码时, LSA 会先调用 PasswordFileter 来判断新密码是否符合密码复杂度要求,如符合,LSA
才会再接着调用 PasswordChangeNotify[rassfm.dll]在系统上更新密码,而我们就是要 Hook 这个 PasswordChangeNotify 来记录下修改后的用户账号密码,相对于 SSP 的好处,它不用动注册表,不
用重启系统,你甚至也可以不让在目标机器上落地,但缺陷就是,只有新添加和修改密码的用户密码才会被记录
此处暂以目标域控[WinServer 2008 之后的独立系统同样适用]为机器为例[ Windows Server 2008r2 64 位系统 ],把 HookPasswordChange.dll[务必自行事先免杀好]和 InvokeReflectivePEInjection.ps1[传上去之前最好先混淆下]先丢上去,之后再把本地的 ps 脚本远程导进去,利用脚本中的 Invoke-VarInjection 方法将 dll 反射加载到 lsass.exe 进程中,如下
0x04 配合 mimikatz 定时记录从 OWA web 登录的所有明文邮箱账号密码,有些特殊需求,可能需要你去监控目标的 OWA 登录
0x05 注入 mstsc.exe,截获外连的 rdp 账号密码
工具暂时还有点小问题,后期需要再改进下,在 server 系统注入时会直接导致 mstsc.exe 崩溃,还有就是,比如有时候,目标用户可能由于手太快中间有几次密码输错了,它也一并给记录上了,也就是
说,它根本不管账号密码是否正确都会记录下,但好在此操作并不要管理权限,只需要当前用户权限即可,对于在控制目标运维机之后,内网横向渗透作用很大
小结
关于利用已控机器,进行被动密码搜集的一些常规方式,大致就先介绍到这里了,当然,场景不同,肯定还有非常多的其他的被动密码搜集方式,上面只是简单挑了一些实战中我们可能用的相对比较多的, 而且也相对比较好操作的方式,其它的一些高成本的利用方式,此处暂不做过多涉及,对于一些防护森严的内网,这种密码搜集方式,往往更加有效隐蔽
本文原创作者:By Klion
走过路过的大佬们留个关注再走呗
最后
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。
无害实验室拥有对此文章的修改和解释权如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经作者允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的
本文始发于微信公众号(无害实验室sec):APT-内网被动密码搜集姿势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论