DLLPasswordFilterImplant有什么功能

這篇文章主要講解了“DLLPasswordFilterImplant有什么功能”，文中的講解內(nèi)容簡單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來研究和學(xué)習(xí)“DLLPasswordFilterImplant有什么功能”吧！

DLLPasswordFilterImplant

   DLLPasswordFilterImplant是一個(gè)自定義的密碼過濾器DLL，它可以幫助廣大安全研究人員捕捉目標(biāo)用戶的憑證信息。域中的每一次密碼修改事件都將會(huì)觸發(fā)一次DLL注冊(cè)操作，以便在活動(dòng)目錄中修改用戶名和新密碼值之前先將它們提取出來。

如需了解更多關(guān)于Windows密碼過濾器的內(nèi)容，請(qǐng)參考微軟的這篇【官方文檔】。

工具下載

廣大研究人員可以使用下列命令將該項(xiàng)目的源碼克隆至本地：

git clone https://github.com/GoSecure/DLLPasswordFilterImplant.git

工具安裝

首先，針對(duì)目標(biāo)操作系統(tǒng)架構(gòu)創(chuàng)建DLL文件，如果是64位系統(tǒng)，則需要編譯64位DLL，如果是32位系統(tǒng)，則需要編譯32位DLL。將生成的DLL文件拷貝至Windows安裝目錄，默認(rèn)路徑為“\Windows\System32”。接下來，通過更新下列注冊(cè)表鍵來注冊(cè)密碼過濾器：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

如果Notification Packages這個(gè)子鍵已經(jīng)存在的話，將DLL的名稱"DLLPasswordFilterImplant"添加到現(xiàn)有的數(shù)據(jù)值中。記住，不要覆蓋現(xiàn)有的值。如果子鍵不存在的話，創(chuàng)建這個(gè)子鍵，然后將DLL的名稱"DLLPasswordFilterImplant" 寫入到數(shù)據(jù)值中。這里需要注意的是，當(dāng)你在Notification Packages子鍵中添加DLL名稱時(shí)，不要將.dll后綴加進(jìn)去。

然后，配置加密憑證所需的公共密鑰：

KEY=key.pem# Generate an RSA key and dump its public key. Keep the private key around for decryptionopenssl genrsa -out $KEY 2048# Prepare the Windows registry key entry.echo 'Windows Registry Editor Version 5.00' > addKey.regecho >> addKey.regecho '[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]' >> addKey.reg# If python2 does not exist, use `python` instead.echo "Key=hex:$(openssl rsa -in $KEY -pubout | sed -E '/^\-/d' | base64 -d | python2 -c 'import sys; print(",".join(["{:02x}".format(ord(b)) for b in sys.stdin.read()]))')" >> addKey.reg

接下來，你可以運(yùn)行addKey.reg文件來將元公共密鑰追加至注冊(cè)表中。注意，由于數(shù)據(jù)填充機(jī)制的存在，使用非對(duì)稱加密算法將會(huì)顯著增加提取出的數(shù)據(jù)文件的大小。為了減少數(shù)據(jù)方面的開銷，我們可能還需要進(jìn)行一些改進(jìn)。

下一步，我們需要重啟系統(tǒng)。

完成之后，我們需要為DNS提取注冊(cè)相應(yīng)的鍵以及域名。進(jìn)入到下列注冊(cè)表項(xiàng)中：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

創(chuàng)建一個(gè)名為“Domain”的字符串類型的子鍵，在這個(gè)子鍵中指定你域名的值，域名值必須以”.”開頭，比如說“.yourdomain.com”。

數(shù)據(jù)解密

填充進(jìn)去的加密數(shù)據(jù)使用的是OAEP，并且能夠使用下列方法來進(jìn)行數(shù)據(jù)解密：

# Convert the stitched hex string to raw bytes.xxd -r -p exfiltrated.hex > raw.bin# Decrypt using the private key.openssl rsautl -decrypt -oaep -inkey $KEY -in raw.bin -out decrypted.txt

卸載過濾器

為了完整地從目標(biāo)系統(tǒng)中移除配置的密碼過濾器，我們首先需要通過更新下列注冊(cè)表鍵來注銷掉密碼過濾器：

HKEY_LOCAL_MACHINE SYSTEM\CurrentControlSet\Control\Lsa

在Notification Packages這個(gè)子鍵中，移除子鍵數(shù)據(jù)值中的DLL名稱，但不要移除現(xiàn)有的其他值，完成之后重啟系統(tǒng)。

在Windows的安裝目錄中（默認(rèn)路徑為“\Windows\System32”），找到密碼過濾器DLL-"DLLPasswordFilterImplant.DLL"，然后刪除該文件。

兼容性

密碼過濾器目前兼容/支持在以下系統(tǒng)平臺(tái)中運(yùn)行：

Windows 7 Hosts (x64)

Windows 10 Hosts (x64)

Windows Server 2008 DCs (x64)

Windows Server 2012 DCs (x64)

Windows Server 2016 DCs (x64)

感謝各位的閱讀，以上就是“DLLPasswordFilterImplant有什么功能”的內(nèi)容了，經(jīng)過本文的學(xué)習(xí)后，相信大家對(duì)DLLPasswordFilterImplant有什么功能這一問題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！