帮酷LOGO
0 0 评论
  • 显示原文与译文双语对照的内容
文章标签:内存  credential  文件  凭证  EXP  files  漏洞  PRE  
Exploit the credentials present in files and memory

  • 源代码名称:PowerMemory
  • 源代码网址:http://www.github.com/giMini/PowerMemory
  • PowerMemory源代码文档
  • PowerMemory源代码下载
  • Git URL:
    git://www.github.com/giMini/PowerMemory.git
  • Git Clone代码到本地:
    git clone http://www.github.com/giMini/PowerMemory
  • Subversion代码到本地:
    $ svn co --depth empty http://www.github.com/giMini/PowerMemory
    Checked out revision 1.
    $ cd repo
    $ svn up trunk
    
  • BlackHat Briefings 2017BlackHat Arsenal 2016LicensePowerShellTwitter

    PowerMemory

    利用文件和内存中存在的凭据

    PowerMemory杠杆微软签署二进制至 hack 微软操作系统。

    什么是新的?

    这种方法是全新的。 证明了在不使用c 类型语言的情况下,从 Windows 内存中获取凭证或者任何其他信息是非常容易的。 这里外,我们还可以修改用户的土地和核心行为,而不是被防病毒或者新的防护技术捕获。

    它实际上可以用 4GL 种语言类型或者一种脚本语言,如PowerShell所在地所安装的语言完成。

    这个技术意味着,这种检测是由于我们可以发送和接收字节的事实而难以实现的。

    用户土地攻击

    • 初始化调试器后,PowerMemory会与它进行交互,感谢 PowerShell。

    用户土地 deatures:

    • 它是用PowerShell写
    • 它可以在本地工作,也可以远程工作
    • 它可以获取虚拟机的密码而不需要任何访问权限( 适用于 Hyper-V 和 VMware )
    • 它不使用操作系统. dll 在内存中查找凭据地址,而是使用Microsoft签名的调试器
    • 它不使用操作系统. dll 来解密收集的密码。 PowerMemory映射内存中的键,并单独解密( AES。TripleDES。des )
    • 它打破了微软的undocumented
    • 即使你在与目标架构不同的架构上,它也能工作
    • 它在记忆中没有留下痕迹
    • 请求请求正在等待在 PowerShell Empire中集成( https://github.com/PowerShellEmpire/Empire/pull/298 )
    • 它可以操纵内存欺骗软件和操作系统
    • 它可以编写内存来执行shellcode而不进行任何API调用,它只发送在特定地址写入的字节

    高级shellcode文章

    • PowerMemory通过在远程进程中注入字节而不借助API来执行代码。

    虚拟机管理程序攻击

    • 实际的管理程序(。Hyper-V 或者) 操作符不拥有虚拟机管理程序管理的虚拟机中的任何权利,实际上是组织中最强大的人员。 PowerMemory可以获取所有虚拟机的密码和杠杆,以获取域管理员凭据。

    基于的内核土地

    • 为了获得高级持久性,PowerMemory修改内核结构以获得高级的持久性,或者提升我们的特权。

    真实世界 weaponization

    • 你可以使用等待集成的模块,并将它的发布为向后的高级攻击,以作为向量。


    文章标签:文件  EXP  files  PRE  MEMO  内存  漏洞  credential  

    Copyright © 2011 HelpLib All rights reserved.    知识分享协议 京ICP备05059198号-3  |  如果智培  |  酷兔英语