Mimikatz是个十分强劲工具,大家曾装包过、封裝过、引入过、应用powershell更新改造过这个工具,如今大家又逐渐向其键入运行内存dump数据信息。不论怎样,从Windows系统软件lsass获取凭证时,Mimikatz依然是优选工具。每每微软公司引进新的安全性控制方法时,GentilKiwi一直可以想十分招绕开防御力,这也是Mimikatz活力四射的缘故所属。殊不知假如大伙儿以前看了Mimikatz的源代码,就了解这绝非易事,该工具必须适用x86及x64的全部Windows版本号(近期还提升了对ARM架构Windows的适用)。伴随着Mimikatz的声名远扬,红队如今也是有各种各样方法可以检验这款工具。从源头上而言,假如总体目标自然环境中布署了目的性安全性体制,那麼在总体目标服务器上实行Mimikatz的个人行为就很有可能被检验到。
我一直以来都是在注重,大伙儿必须了解工具的內部基本原理,而不是实行脚本制作那么简易。如今安全性生产商一直都在降低并监管普遍的进攻方法及攻击面,而且会比大家发觉新方式的速率也要快,因而了解某类技术性对最底层API的启用能产生许多益处,很有可能防止大家的个人行为在重重的安全防护的自然环境中被检验出去。
在这类状况下,很多后渗入工具聚会以各种各样方法集成化Mimikatz这一工具。如今有一些安全性厂商会检验进程与lsass的互动个人行为,而大量厂商会去勤奋去鉴别Mimikatz个人行为特点。
我一直都想在一些情景下抽身Mimikatz的一些作用(主要是不方便或是不太可能转储运行内存数据信息的情景),但我却沒有好好地深入分析这款工具的最底层完成,这一点确实有点儿令人困惑。
因而过去2~3篇文章内容中,我逐渐探寻这款工具的內部完成,关键从WDigest逐渐科学研究。我重点关注的是密文凭证怎样缓存文件在lsass中,为何能够应用sekurlsa::wdigest来获取这种凭证。这一全过程必须反编译及其调节,而且想做到Mimikatz的高宽比是十分艰难的一件事,但最终大家会发觉,假如仅仅想完成Mimikatz中的一部分作用、根据源码来搭建自身的工具,那麼这一全过程還是十分非常值得去试着。
在文中中,我将讨论在lsass中载入随意DLL的别的方式,能够与文中的实例编码融合应用。
备注名称:文中很多采用了Mimikatz源码,Mimikatz开发者在这里上边花了很多活力。在我们在阅读文章源代码时,会发觉在其中牵涉到很多对外公布的构造,感受到开发人员的艰辛投入。这儿要谢谢Mimikatz、Benjamin Delpy及其Vincent Le Toux的优秀工作中。
0x01 sekurlsa::wdigest
如上所述,在文中中大家将重点关注WDigest,这也是Mimikatz最知名的一个作用。在Windows Server 2008 R2以前,系统软件默认设置状况下能缓存文件WDigest凭证,自此系统软件已不缓存文件密文凭证。
在逆向分析系统软件部件时,我一般 喜爱attach调试器,观查部件怎样在运作全过程中与系统软件互动。悲剧的是,在这类情景下,我们无法简易地将WinDBG额外到lsass上,假如那么实际操作,Windows会停止运行,警示客户系统软件将要重新启动。因而,大家必须attach核心,随后从Ring-0转换到lsass进程。假如大伙儿以前沒有应用WinDBG attach核心,能够阅读文章我以前的文章内容,掌握怎么设置核心调试器。
attach核心调试器后,大家必须爬取lsass进程的EPROCESS详细地址,能够应用以下指令!process 0 0 lsass.exe:
明确EPROCESS详细地址后(ffff9d01325a7080),我们可以要求将调节对话转换到lsass进程的前后文:
根据lm指令来明确如今大家具有WDigest DLL进程室内空间的访问限制:
假如这时大家发觉标记并沒有获得恰当分析,一般 状况下能够试着.reload /user。
attach调试器后,使我们逐渐详细分析WDigest。
0x02 详细分析wdigest.dll(及其lsasrv.dll)
假如观查Mimikatz源码,能够见到编码根据扫描仪特点来鉴别运行内存中的凭证信息。这儿我们可以应用十分知名的Ghidra工具,讨论一下Mimikatz在检索什么特点。
我应用的自然环境为Windows 10 x64,因而我重点关注PTRN_WIN6_PasswdSet特点,以下所显示:
在Ghidra中键入这一检索特点后,大家就能了解Mimikatz在运行内存中搜索什么:
如圖所显示,大家找到LogSessHandlerPasswdSet,尤其是l_LogSessList表针。这一表针是以WDigest中获取凭证的重要,但在进一步剖析前,我们可以先备份数据一下,根据交叉引用搜索谁在启用这一涵数,大家找到以下信息:
这儿大家找到WDigest.dll导出来的SpAcceptCredentials函数,这一涵数有什么作用呢?
这一信息看上去十分有期待,我们可以见到凭证必须根据这一回调函数来传送。大家来确定一下自身确实沒有偏移主题风格。在WinDBG中,我们可以应用bp wdigest!SpAcceptCredentials来加上中断点,随后在Windows中运用runas指令弹出来一个shell: