freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

DLLPasswordFilterImplant:一款功能带有提取功能的DLL密码过滤器
  • 关注
DLLPasswordFilterImplant:一款功能带有提取功能的DLL密码过滤器
2020-03-10 15:00:53

DLLPasswordFilterImplant

DLLPasswordFilterImplant是一个自定义的密码过滤器DLL,它可以帮助广大安全研究人员捕捉目标用户的凭证信息。域中的每一次密码修改事件都将会触发一次DLL注册操作,以便在活动目录中修改用户名和新密码值之前先将它们提取出来。

如需了解更多关于Windows密码过滤器的内容,请参考微软的这篇【官方文档】。

工具下载

广大研究人员可以使用下列命令将该项目的源码克隆至本地:

git clone https://github.com/GoSecure/DLLPasswordFilterImplant.git

工具安装

首先,针对目标操作系统架构创建DLL文件,如果是64位系统,则需要编译64位DLL,如果是32位系统,则需要编译32位DLL。将生成的DLL文件拷贝至Windows安装目录,默认路径为“\Windows\System32”。接下来,通过更新下列注册表键来注册密码过滤器:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

如果Notification Packages这个子键已经存在的话,将DLL的名称"DLLPasswordFilterImplant"添加到现有的数据值中。记住,不要覆盖现有的值。如果子键不存在的话,创建这个子键,然后将DLL的名称"DLLPasswordFilterImplant" 写入到数据值中。这里需要注意的是,当你在Notification Packages子键中添加DLL名称时,不要将.dll后缀加进去。

然后,配置加密凭证所需的公共密钥:

KEY=key.pem
    # Generate an RSA key and dump its public key. Keep the private key around for decryption
    openssl genrsa -out $KEY 2048
    # Prepare the Windows registry key entry.
    echo 'Windows Registry Editor Version 5.00' > addKey.reg
    echo >> addKey.reg
    echo '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]' >> addKey.reg
    # If python2 does not exist, use `python` instead.
    echo "Key=hex:$(openssl rsa -in $KEY -pubout | sed -E '/^\-/d' | base64 -d | python2 -c 'import sys; print(",".join(["{:02x}".format(ord(b)) for b in sys.stdin.read()]))')" >> addKey.reg

接下来,你可以运行addKey.reg文件来将元公共密钥追加至注册表中。注意,由于数据填充机制的存在,使用非对称加密算法将会显著增加提取出的数据文件的大小。为了减少数据方面的开销,我们可能还需要进行一些改进。

下一步,我们需要重启系统

完成之后,我们需要为DNS提取注册相应的键以及域名。进入到下列注册表项中:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

创建一个名为“Domain”的字符串类型的子键,在这个子键中指定你域名的值,域名值必须以”.”开头,比如说“.yourdomain.com”。

数据解密

填充进去的加密数据使用的是OAEP,并且能够使用下列方法来进行数据解密:

# Convert the stitched hex string to raw bytes.
    xxd -r -p exfiltrated.hex > raw.bin
    # Decrypt using the private key.
    openssl rsautl -decrypt -oaep -inkey $KEY -in raw.bin -out decrypted.txt

卸载过滤器

为了完整地从目标系统中移除配置的密码过滤器,我们首先需要通过更新下列注册表键来注销掉密码过滤器:

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Lsa

在Notification Packages这个子键中,移除子键数据值中的DLL名称,但不要移除现有的其他值,完成之后重启系统。

在Windows的安装目录中(默认路径为“\Windows\System32”),找到密码过滤器DLL-"DLLPasswordFilterImplant.DLL",然后删除该文件。

兼容性

密码过滤器目前兼容/支持在以下系统平台中运行:

Windows 7 Hosts (x64)

Windows 10 Hosts (x64)

Windows Server 2008 DCs (x64)

Windows Server 2012 DCs (x64)

Windows Server 2016 DCs (x64)

调试工具

如果有需要的话,下面给出的工具也许可以帮助你调试生成好的DLL文件:

Process Explorer:【点我获取

Dependency Walker:【点我获取

项目地址

DLLPasswordFilterImplant:【GitHub传送门

* 参考来源:GoSecure,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM


# 工具 # dll # 密码过滤器
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者