通過用 mimikatz 對 lsass.exe 進(jìn)行進(jìn)程注入
再調(diào)用 sekurlsa.dll 去獲取 wdigest
也寫了下自己對加密解密這個問題的想法
現(xiàn)在在把這個給大家點(diǎn)明確一些~
在用這個神器獲取密碼的時候 命令分別如下
privilege::debug
inject::process lsass.exe sekurlsa.dll
@getLogonPasswords
可以推理出整個流程
先將進(jìn)程提升到 debug 權(quán)限
然后將 sekurlsa.dll 注入到 lsass.exe 進(jìn)程里
調(diào)用 sekurlsa.dll 里的 getLogonPasswords 這個函數(shù)獲取出密碼
結(jié)合上文我提到的廢話
以前我們一般用 wce.exe 或 lslsass.exe
通常是只能從內(nèi)存里頂多抓active賬號的 lm hash 和 ntlm hash
但用了這個神器抓出明文密碼后
由此我們可以反推斷 在 lsass.exe 里并不是只存有 lm hash 和 ntlm hash 而已
lsass.exe 里很可能是存在兩個敏感信息
1. 明文密碼經(jīng)過加密算法的密文 (這個加密算法是可逆的 能被解密出明文)
2. 明文密碼經(jīng)過hash算法做數(shù)字摘要認(rèn)證的hash
(注意: 是加密算法 而不是hash算法 加密算法是可逆的 hash算法是不可逆的)
所以進(jìn)程注入 lsass.exe 時 所調(diào)用的 sekurlsa.dll 應(yīng)該包含了對應(yīng)的解密算法
逆向功底比較好的童鞋可以嘗試去逆向分析一下
直接去逆向分析下 sekurlsa.dll 的 getLogonPasswords 函數(shù)做了些什么
是直接從某處就取出了 wdigest
還是從某處先取出了 某些信息
然后有解密操作的過程
說不定能發(fā)現(xiàn)微軟的一些小秘密喲 =..=~
比如 它的這個加密算法
在作者blog里發(fā)現(xiàn)作者其實(shí)已經(jīng)回答過這個問題了
沒有明文存儲 而是放在內(nèi)存里 并且是可逆的 這樣也就驗(yàn)證了我推測的第一種情況
1. 明文密碼經(jīng)過加密算法的密文 (這個加密算法是可逆的 能被解密出明文)
- PC官方版
- 安卓官方手機(jī)版
- IOS官方手機(jī)版