主页 > 网络知识 > Windows凭证的伪造和窃取技术总结

Windows凭证的伪造和窃取技术总结

在Windows环境中,当程序执行时经常会需要用户输入自己的域凭证来实现身份验证,或者说在触发用户账号控制时要求用户输入凭证来实现授权或提权,这种情况是很常见的。通过模仿Windows的这种行为,研究人员将有可能获取到Windows用户的凭证数据,而这些凭证后续将有可能被用于红队安全评估过程中的横向移动/渗透

C#方法

现代红队技术有很多都需要依赖于C#语言来实现,因为这种语言的特性之一就是允许类似Cobalt Strike和Covenant之类的框架来在内存中执行代码。FakeLogonScreen是一款采用C#开发的Windows实用程序,该工具可以伪造Windows登录界面并尝试从当前用户身上获取凭证密码。

 

Windows凭证的伪造和窃取技术总结

 

该工具能够显示当前设备所配置的登录界面背景,这样可以降低用户的防范意识,以成功实现恶意操作。

 

Windows凭证的伪造和窃取技术总结

 

当用户在伪造的登录界面输入了自己的密码之后,该工具将会对用户输入的密码进行验证以确保密码的正确性。此时,密码将会显示在攻击者的命令控制台中。

 

Windows凭证的伪造和窃取技术总结

 

项目中的二级代码可以将获取到的凭证存储到目标设备本地磁盘中的user.db文件中,我们可以执行下列命令来从中读取出包含的域用户凭证:

type C:Userspentestlab.PENTESTLABAppDataLocalMicrosoftuser.db

 

Windows凭证的伪造和窃取技术总结

 

当然了,社区还有一个名叫SharpLocker的类似工具,该工具由Matt Pickford开发,它也可以伪造Windows的用户登录界面。

 

Windows凭证的伪造和窃取技术总结

 

用户在此界面上输入的每一个键盘击键信息都可以直接在命令控制台中显示出来:

 

Windows凭证的伪造和窃取技术总结

 

PowerShell方法

Windows安全输入提示非常常见,因为公司环境中的应用程序可能会定期要求用户进行身份验证。Microsoft outlook是一种通常在域环境中执行凭据请求的产品。CredsLeaker这款软件可以尝试模拟Windows的安全提示,它可以使用Web服务器来将用户输入的凭证密码以文件的形式进行存储,并利用PowerShell来调用HTTP请求。其中,PowerShell命令可以直接通过BAT文件来调用和执行。

run.bat

 

Windows凭证的伪造和窃取技术总结

 

在执行BAT文件之前,我们需要修改配置负责存储配置文件、PHP以及PowerShell文件的Web服务器。当BAT文件执行后,将会弹出Windows安全窗口并显示给用户。

 

Windows凭证的伪造和窃取技术总结

 

该工具会对获取到的凭证进行验证,只有当用户提供正确的密码时,安全弹窗才会消失,域、主机名、用户名和密码将写入以下位置。

/var/www/html/creds.txt
说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!