DLLPasswordFilterImplant有什么功能

這篇文章主要講解了“DLLPasswordFilterImplant有什么功能”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“DLLPasswordFilterImplant有什么功能”吧！

DLLPasswordFilterImplant

   DLLPasswordFilterImplant是一個自定義的密碼過濾器DLL，它可以幫助廣大安全研究人員捕捉目標用戶的憑證信息。域中的每一次密碼修改事件都將會觸發一次DLL注冊操作，以便在活動目錄中修改用戶名和新密碼值之前先將它們提取出來。

如需了解更多關于Windows密碼過濾器的內容，請參考微軟的這篇【官方文檔】。

工具下載

廣大研究人員可以使用下列命令將該項目的源碼克隆至本地：

git clone https://github.com/GoSecure/DLLPasswordFilterImplant.git

工具安裝

首先，針對目標操作系統架構創建DLL文件，如果是64位系統，則需要編譯64位DLL，如果是32位系統，則需要編譯32位DLL。將生成的DLL文件拷貝至Windows安裝目錄，默認路徑為“\Windows\System32”。接下來，通過更新下列注冊表鍵來注冊密碼過濾器：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

如果Notification Packages這個子鍵已經存在的話，將DLL的名稱"DLLPasswordFilterImplant"添加到現有的數據值中。記住，不要覆蓋現有的值。如果子鍵不存在的話，創建這個子鍵，然后將DLL的名稱"DLLPasswordFilterImplant" 寫入到數據值中。這里需要注意的是，當你在Notification Packages子鍵中添加DLL名稱時，不要將.dll后綴加進去。

然后，配置加密憑證所需的公共密鑰：

KEY=key.pem# Generate an RSA key and dump its public key. Keep the private key around for decryptionopenssl genrsa -out $KEY 2048# Prepare the Windows registry key entry.echo 'Windows Registry Editor Version 5.00' > addKey.regecho >> addKey.regecho '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]' >> addKey.reg# If python2 does not exist, use `python` instead.echo "Key=hex:$(openssl rsa -in $KEY -pubout | sed -E '/^\-/d' | base64 -d | python2 -c 'import sys; print(",".join(["{:02x}".format(ord(b)) for b in sys.stdin.read()]))')" >> addKey.reg

接下來，你可以運行addKey.reg文件來將元公共密鑰追加至注冊表中。注意，由于數據填充機制的存在，使用非對稱加密算法將會顯著增加提取出的數據文件的大小。為了減少數據方面的開銷，我們可能還需要進行一些改進。

下一步，我們需要重啟系統。

完成之后，我們需要為DNS提取注冊相應的鍵以及域名。進入到下列注冊表項中：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

創建一個名為“Domain”的字符串類型的子鍵，在這個子鍵中指定你域名的值，域名值必須以”.”開頭，比如說“.yourdomain.com”。

數據解密

填充進去的加密數據使用的是OAEP，并且能夠使用下列方法來進行數據解密：

# Convert the stitched hex string to raw bytes.xxd -r -p exfiltrated.hex > raw.bin# Decrypt using the private key.openssl rsautl -decrypt -oaep -inkey $KEY -in raw.bin -out decrypted.txt

卸載過濾器

為了完整地從目標系統中移除配置的密碼過濾器，我們首先需要通過更新下列注冊表鍵來注銷掉密碼過濾器：

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Lsa

在Notification Packages這個子鍵中，移除子鍵數據值中的DLL名稱，但不要移除現有的其他值，完成之后重啟系統。

在Windows的安裝目錄中（默認路徑為“\Windows\System32”），找到密碼過濾器DLL-"DLLPasswordFilterImplant.DLL"，然后刪除該文件。

兼容性

密碼過濾器目前兼容/支持在以下系統平臺中運行：

Windows 7 Hosts (x64)

Windows 10 Hosts (x64)

Windows Server 2008 DCs (x64)

Windows Server 2012 DCs (x64)

Windows Server 2016 DCs (x64)

感謝各位的閱讀，以上就是“DLLPasswordFilterImplant有什么功能”的內容了，經過本文的學習后，相信大家對DLLPasswordFilterImplant有什么功能這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！