freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

渗透测试之地基免杀篇:mimikatz底层分析免杀过360
2021-01-10 20:47:13

系列文章

专辑:渗透测试之地基篇

简介

渗透测试-地基篇

该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。

请注意

本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。

名言:

你对这行的兴趣,决定你在这行的成就!

一、前言

Mimikatz可以说渗透人员都知道的一款获取Windows的明文密码的工具,是法国人编写的但在全球都广范围使用着,主要能够从 Windows 认证(LSASS)的进程中获取内存,并且获取明文密码和NTLM的哈希值,因此黑客可以借此横向内网环境。

这款工具这么吃香,在杀软界也是颇受关注,正常情况下杀软是百分百拦截和秒杀该工具的,而市面上很多红队或者渗透人员都对写了很多加密的方法,大部分都是加壳和混淆文件等,这里我将介绍利用Visual Studio 2012分析和演示Mimikatz工具底层源码如何修改过360等杀软的思路。

二、环境介绍

1608213735_5fdb64e7aa0655a649f8f.png!small?1608213737710

黑客(攻击者):

IP:192.168.175.145

系统:kali.2020.4

windows 10系统是黑客用于制作免杀Mimikatz的系统。

VPS服务器:

此次模拟环境将直接越过VPS平台,已经通过钓鱼拿到对方的shell过程!!

办公区域:

系统:windwos 10

IP:192.168.2.142

存在:360、火绒、deferencer

目前黑客通过kali系统进行攻击行为,发现漏洞后获得了windows 10 办公区域系统的权限,然后发现对方电脑上存在360、火绒、deferencer需要获取对方密码明文等信息,将演示Mimikatz工具底层源码如何修改过360等杀软的思路,并获得对方密码等明文信息的过程。

三、环境部署

攻击者windwos 10:

1、下载Mimikatz源代码

将Mimikatz 源代码下载到本地:

https://github.com/gentilkiwi/mimikatz

1610289663_5ffb11ffa1731fa5ef207.png!small?1610289664228

2、安装Visual Studio 2012

下载网盘:

https://pan.baidu.com/s/1DCfCWByBXVOJLf8-YHL9dg  密码: n1u4

下载后运行vs_ultimate.exe:

1610290046_5ffb137e4a907641efa1b.png!small?1610290046468

1610290279_5ffb14672f5e139f14b4b.png!small?1610290279559

运行后默认勾选同意下一步

1610290335_5ffb149f65c3024b57aad.png!small?1610290335674

这里视情况而定选择,Mimikatz免杀只需要勾选c ++即可,点击安装,完成安装后打开输入网盘内提供的激活码即可成功激活使用。

3、环境配置

Visual Studio 2012在默认情况下是C #开发设置环境,需要配置行时C ++开发环境:

点击导入和导出设置

1610290754_5ffb1642b8315a096ca8d.png!small?1610290755330

重置所有设置环境:

1610290781_5ffb165dd04ffd9612bb6.png!small?1610290782159

默认下一步:

1610290807_5ffb1677aa01a1be8ab72.png!small?1610290807963

选择Visual C++ 开发设置:

1610290889_5ffb16c97d49f231e2906.png!small?1610290889803

环境设置非常重要,那么这就完成了环境的设置,开始演示免杀。

四、Mimikatz源码免杀

源码免杀能了解Mimikatz底层的代码原理,只需要定位源码中的特征代码进行修改就可以达到免杀效果,接下来将演示如何定位到Mimikatz源代码、字符串,输入表上进行代码修改达到免杀360等杀软效果。

1、运行环境调试

使用Visual Studio 2012方式打开mimikatz.sln:

1610291255_5ffb18375e86ab6b58da4.png!small?1610291255975

对其中mimikatz项目右键生成exe:

1610291307_5ffb186b7941e65b6ac0d.png!small?1610291307892


1610291347_5ffb1893c7b08511ba356.png!small?

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 渗透测试 # web安全 # Mimikatz
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑