DLLPasswordFilterImplant有什么功能

这篇文章主要讲解了“DLLPasswordFilterImplant有什么功能”,文中的讲解内容简单清晰,易于学习与理解,下面请大家跟着小编的思路慢慢深入,一起来研究和学习“DLLPasswordFilterImplant有什么功能”吧!

鸡冠ssl适用于网站、小程序/APP、API接口等需要进行数据传输应用场景,ssl证书未来市场广阔!成为成都创新互联的ssl证书销售渠道,可以享受市场价格4-6折优惠!如果有意向欢迎电话联系或者加微信:18982081108(备注:SSL证书合作)期待与您的合作!

DLLPasswordFilterImplant

   DLLPasswordFilterImplant是一个自定义的密码过滤器DLL,它可以帮助广大安全研究人员捕捉目标用户的凭证信息。域中的每一次密码修改事件都将会触发一次DLL注册操作,以便在活动目录中修改用户名和新密码值之前先将它们提取出来。

如需了解更多关于Windows密码过滤器的内容,请参考微软的这篇【官方文档】。

工具下载

广大研究人员可以使用下列命令将该项目的源码克隆至本地:

git clone https://github.com/GoSecure/DLLPasswordFilterImplant.git

工具安装

首先,针对目标操作系统架构创建DLL文件,如果是64位系统,则需要编译64位DLL,如果是32位系统,则需要编译32位DLL。将生成的DLL文件拷贝至Windows安装目录,默认路径为“\Windows\System32”。接下来,通过更新下列注册表键来注册密码过滤器:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

如果Notification Packages这个子键已经存在的话,将DLL的名称"DLLPasswordFilterImplant"添加到现有的数据值中。记住,不要覆盖现有的值。如果子键不存在的话,创建这个子键,然后将DLL的名称"DLLPasswordFilterImplant" 写入到数据值中。这里需要注意的是,当你在Notification Packages子键中添加DLL名称时,不要将.dll后缀加进去。

然后,配置加密凭证所需的公共密钥:

KEY=key.pem# Generate an RSA key and dump its public key. Keep the private key around for decryptionopenssl genrsa -out $KEY 2048# Prepare the Windows registry key entry.echo 'Windows Registry Editor Version 5.00' > addKey.regecho >> addKey.regecho '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]' >> addKey.reg# If python2 does not exist, use `python` instead.echo "Key=hex:$(openssl rsa -in $KEY -pubout | sed -E '/^\-/d' | base64 -d | python2 -c 'import sys; print(",".join(["{:02x}".format(ord(b)) for b in sys.stdin.read()]))')" >> addKey.reg

接下来,你可以运行addKey.reg文件来将元公共密钥追加至注册表中。注意,由于数据填充机制的存在,使用非对称加密算法将会显著增加提取出的数据文件的大小。为了减少数据方面的开销,我们可能还需要进行一些改进。

下一步,我们需要重启系统。

完成之后,我们需要为DNS提取注册相应的键以及域名。进入到下列注册表项中:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

创建一个名为“Domain”的字符串类型的子键,在这个子键中指定你域名的值,域名值必须以”.”开头,比如说“.yourdomain.com”。

数据解密

填充进去的加密数据使用的是OAEP,并且能够使用下列方法来进行数据解密:

# Convert the stitched hex string to raw bytes.xxd -r -p exfiltrated.hex > raw.bin# Decrypt using the private key.openssl rsautl -decrypt -oaep -inkey $KEY -in raw.bin -out decrypted.txt

卸载过滤器

为了完整地从目标系统中移除配置的密码过滤器,我们首先需要通过更新下列注册表键来注销掉密码过滤器:

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Lsa

在Notification Packages这个子键中,移除子键数据值中的DLL名称,但不要移除现有的其他值,完成之后重启系统。

在Windows的安装目录中(默认路径为“\Windows\System32”),找到密码过滤器DLL-"DLLPasswordFilterImplant.DLL",然后删除该文件。

兼容性

密码过滤器目前兼容/支持在以下系统平台中运行:

Windows 7 Hosts (x64)

Windows 10 Hosts (x64)

Windows Server 2008 DCs (x64)

Windows Server 2012 DCs (x64)

Windows Server 2016 DCs (x64)

感谢各位的阅读,以上就是“DLLPasswordFilterImplant有什么功能”的内容了,经过本文的学习后,相信大家对DLLPasswordFilterImplant有什么功能这一问题有了更深刻的体会,具体使用情况还需要大家实践验证。这里是创新互联,小编将为大家推送更多相关知识点的文章,欢迎关注!


网站栏目:DLLPasswordFilterImplant有什么功能
网站链接:http://azwzsj.com/article/gcpccd.html