项目介绍
RdpStrike 基本上是我为深入研究位置独立代码 (PIC) 而构建的一个小型项目,参考了 C5pider 撰写的一篇博客文章,并与 0x09AL 创建的 RdpThief 工具相结合。
该项目旨在从 mstsc.exe 中提取明文密码,shellcode 使用硬件断点来挂钩 API。它是一个完整的位置独立代码,当 shellcode 注入 mstsc.exe 进程时,它会将硬件断点放在以下三个不同的 API 上,最终捕获任何明文凭据,然后将其保存到文件中。攻击者脚本确保监视新进程;如果生成了进程 mstsc,它会将 shellcode 注入其中。
工具使用
![RdpStrike:从mstsc.exe中提取明文密码工具]( "从mstsc.exe中提取明文密码工具")
视频演示:
https://5pider.net/blog/2024/01/27/modern-shellcode-implant-design/https://github.com/0x09AL/RdpThief
SspiPrepareForCredReadCryptProtectMemoryCredIsMarshaledCredentialW
当 Aggressor 攻击者脚本加载到 CobaltStrike 上时,将有三个新命令可用:
rdpstrike_enable - 启用新 mstsc.exe 进程的心跳检查并注入其中。rdpstrike_disable - 禁用新 mstsc.exe 的心跳检查,但不会删除挂钩并释放 shellcode。rdpstrike_dump - 读取文件并打印提取的凭据(如果有)。
下载地址
https://github.com/0xEr3bus/RdpStrike
原文始发于微信公众号(Hack分享吧):从mstsc.exe中提取明文密码工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论