域滲透——Hook PasswordChangeNotify
0x00 前言
在之前的文章中介紹了兩種維持域控許可權的方法——SSP和Skeleton Key,這兩種方法均需要藉助Mimikatz來實現,或多或少存在一些不足,所以這次接著介紹一個更加隱蔽且不需要使用Mimikatz的後門方法——Hook PasswordChangeNotify.
0x01 簡介
Hook PasswordChangeNotify這個概念最早是在2013年9月15日由clymb3r提出,透過Hook PasswordChangeNotify攔截修改的帳戶密碼。
需要了解的相關背景知識如下:
在修改域控密碼時會進行如下同步操作:
a. 當修改域控密碼時,LSA首先呼叫PasswordFileter來判斷新密碼是否符合密碼複雜度要求 b. 如果符合,LSA接著呼叫PasswordChangeNotify在系統上同步更新密碼
函式PasswordChangeNotify存在於rassfm.dll
rassfm.dll可理解為Remote Access Subauthentication dll,只存在於在Server系統下,xp、win7、win8等均不存在
可以使用dumpbin檢視rassfm.dll匯出函式來驗證結論2:
#!bash dumpbin /exports c:\windows\system32\rassfm.dll
如圖 
0x02 特點
對於之前介紹過的Security Support Provider,在實際使用過程中不可避免的會有以下不足:
- 安裝後需要重啟系統
- 需要在System32資料夾下放置dll
- 需要修改登錄檔
而使用Hook PasswordChangeNotify卻有如下優點:
- 不需要重啟
- 不需要修改登錄檔
- 甚至不需要在系統放置dll
可以說在隱蔽性上,使用Hook PasswordChangeNotify優於Security Support Provider
0x03 技術實現
根據clymb3r提供的poc,實現Hook PasswordChangeNotify共包含兩部分:
1、Hook dll
下載連結:
https://github.com/clymb3r/Misc-Windows-Hacking
(1)為PasswordChangeNotify建立一個inline Hook,將初始函式重定向到PasswordChangeNotifyHook
(2)在PasswordChangeNotifyHook中實現記錄密碼的操作,然後重新將控制權交給PasswordChangeNotify
2、dll注入
可以利用 Powershell tricks中的Process Injection將我們自己編寫的dll注入到lsass程式,實現Hook功能
0x04 實際測試
測試環境:
Server 2008 R2 x64
Server 2012 R2 x64
測試步驟:
1、生成Hook dll
poc下載地址:
https://github.com/clymb3r/Misc-Windows-Hacking
使用VS2015開發環境,MFC設定為在靜態庫中使用MFC
編譯工程,生成HookPasswordChange.dll
2、生成dll注入的powershell指令碼
下載Powershell的dll注入指令碼
https://github.com/clymb3r/PowerShell/blob/master/Invoke-ReflectivePEInjection/Invoke-ReflectivePEInjection.ps1
在程式碼尾部新增如下程式碼:
Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll –procname lsass
並命名為HookPasswordChangeNotify.ps1
3、Hook PasswordChangeNotify
上傳HookPasswordChangeNotify.ps1和HookPasswordChange.dll
管理員許可權執行:
#!bash
PowerShell.exe -ExecutionPolicy Bypass -File HookPasswordChangeNotify.ps1
如圖 
4、自動記錄新密碼
在Server 2012 R2 x64下,手動修改域控密碼後
在C:\Windows\Temp下可以找到passwords.txt,其中記錄了新修改的密碼
如圖 
在Server 2008 R2 x64下,同樣成功
如圖 
0x05 小結
本文依舊是對常規功能做了演示,後續可自定義dll程式碼實現更多高階功能,如自動上傳新密碼。
以下連結中的程式碼可作為參考,其中實現了將獲取的新密碼上傳至Http伺服器
http://carnal0wnage.attackresearch.com/2013/09/stealing-passwords-every-time-they.html
使用Hook PasswordChangeNotify來記錄新密碼,如果放在以前,程式注入的操作很容易被檢測,但是得益於Powershell應用的發展,透過Powershell來程式注入可以繞過常規的攔截。
當然,Hook PasswordChangeNotify僅僅是眾多Hook方法中的一個。
我已經Fork了clymb3r的程式碼,並結合本文需要的程式碼做了更新,下載地址如下:
https://github.com/3gstudent/Hook-PasswordChangeNotify
0x06 參考資料
- https://clymb3r.wordpress.com/2013/09/15/intercepting-password-changes-with-function-hooking/
- http://carnal0wnage.attackresearch.com/2013/09/stealing-passwords-every-time-they.html
- http://www.processlibrary.com/en/directory/files/rassfm/305529/
- https://github.com/clymb3r/Misc-Windows-Hacking/tree/master/HookPasswordChange
- http://www.slideshare.net/nFrontSecurity/how-do-password-filters-work
本文由三好學生原創並首發於烏雲drops,轉載請註明
相關文章
- 內網滲透-初探域滲透內網
- 域滲透之利用WMI來橫向滲透
- 3、域滲透詳解
- 域滲透前置知識
- 域滲透——Security Support ProviderIDE
- 域滲透之ldap協議LDA協議
- 安全技術 | 域滲透之SPN
- 域滲透——Local Administrator Password Solution
- 7、域滲透——Pass The Hash的實現
- 技術分享 | 域滲透AdminSDHolder
- 1、域滲透基礎簡單資訊收集
- 9、Metasploit域滲透測試全程實錄
- 域滲透之初識Kerberos認證過程ROS
- 滲透測試某大型能源公司續(成功滲透區域網閘道器防火牆)防火牆
- wifi滲透WiFi
- 14、域滲透神器Empire安裝和簡單使用
- 11、域滲透測試中使用到的命令+工具
- 資料分析滲透到劇本創作領域
- 域滲透之初識LM&NTLM認證過程
- 【CTF】msf和impacket聯合拿域控內網滲透-拿域控內網
- 6、域滲透中查詢域使用者對域成員機器關係
- 8、域滲透——獲得域控伺服器的NTDS.dit檔案伺服器
- metasploit滲透測試筆記(內網滲透篇)筆記內網
- 滲透測試會用到哪些工具?滲透測試教程
- Kali Linux 安全滲透教程1.2 安全滲透所需工具Linux
- 12、強大的內網域滲透提權分析工具——BloodHound內網
- 域滲透之ATT&CK實戰系列——紅隊實戰(一)
- 內網滲透應用 跨vlan滲透的一種思路內網
- Me-and-My-Girlfriend-1靶機滲透 (Vulnhub內網滲透)內網
- pentestdb滲透工具使用
- 伺服器滲透?伺服器
- 網站滲透思路網站
- 內網滲透工具內網
- 記一次大型且細小的域滲透實戰
- 域滲透 | kerberos認證及過程中產生的攻擊ROS
- 16、DeathStar:一鍵自動化域滲透工具(含演示視訊)
- 什麼是內網滲透和外網滲透?有何區別?內網
- Kali Linux安全滲透教程1.1Linux安全滲透簡介Linux