-
-
[分享&挑战]sekurlsa.dll逆向分析challenge(可能发现windows系统账号存储机制的小秘密)
-
发表于: 2012-2-23 20:55
-
声明:
本文作者是CasperKid,本文发表经过他本人授权!
昨天有朋友发了个法国佬写的神器叫 mimikatz (附件在3楼)让我们看下
神器下载地址:
db2K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3u0D9L8$3N6Q4x3X3g2Y4k6h3&6@1K9h3I4C8K9i4N6A6i4K6u0W2j5$3!0E0i4K6u0r3L8h3W2E0K9h3E0S2N6s2A6Q4x3@1y4Q4x3V1k6X3L8$3&6@1i4K6y4q4
还有一篇用这个神器直接从 lsass.exe 里获取windows处于active状态账号明文密码的文章
575K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4m8W2L8Y4c8W2M7%4c8E0L8$3&6C8k6i4W2Q4x3X3g2F1k6i4c8Q4x3V1k6T1L8r3!0Y4i4K6u0r3L8h3W2E0K9h3E0S2N6s2A6Q4x3X3c8@1L8$3!0D9i4K6u0V1N6r3!0Q4x3X3c8J5k6h3y4G2N6X3g2J5i4K6u0V1j5$3I4W2j5i4u0@1k6i4S2@1i4K6u0V1M7r3q4K6M7%4N6G2M7X3c8K6i4K6u0V1k6Y4u0G2L8g2)9J5k6r3I4K6j5i4y4K6
自己尝试了下用 win2008 r2 x64 来测试
最后测试成功 wdigest 就是我的明文密码
我还测过密码复杂度在14位以上
包含数字 大小写字母 特殊字符的密码
一样能抓出明文密码来
以前用 wce.exe 或 lslsass.exe 通常是只能从内存里顶多抓出active账号的 lm hash 和 ntlm hash
但用了这个神器抓出明文密码后
由此我们可以反推断 在 lsass.exe 里并不是只存有 lm hash 和 ntlm hash 而已
应该还存在有你的明文密码经过某种加密算法 (注意: 是加密算法 而不是hash算法 加密算法是可逆的 hash算法是不可逆的)
这样这个加密算法是可逆的 能被解密出明文
所以进程注入 lsass.exe 时 所调用的 sekurlsa.dll 应该包含了对应的解密算法
逆向功底比较好的童鞋可以尝试去逆向分析一下
然后这个神器的功能肯定不仅仅如此 在我看来它更像一个轻量级调试器
可以提升进程权限 注入进程 读取进程内存等等
下面展示一个 读取扫雷游戏的内存的例子
我们还可以通过pause命令来挂起该进程 这个时候游戏的时间就静止了
总之这个神器相当华丽 还有更多能力有待各黑阔们挖掘 =..=~
(在文章最后 附加作者的回答)
在上篇文章中 我们看到了通过用 mimikatz 对 lsass.exe 进行进程注入
再调用 sekurlsa.dll 去获取 wdigest
也写了下自己对加密解密这个问题的想法
现在在把这个给大家点明确一些~
在用这个神器获取密码的时候 命令分别如下
privilege::debug
inject::process lsass.exe sekurlsa.dll
@getLogonPasswords
可以推理出整个流程
先将进程提升到 debug 权限
然后将 sekurlsa.dll 注入到 lsass.exe 进程里
调用 sekurlsa.dll 里的 getLogonPasswords 这个函数获取出密码
结合上文我提到的废话
--------------------------------------------------------------------------------------
以前我们一般用 wce.exe 或 lslsass.exe通常是只能从内存里顶多抓active账号的 lm hash 和 ntlm hash
但用了这个神器抓出明文密码后
由此我们可以反推断 在 lsass.exe 里并不是只存有 lm hash 和 ntlm hash 而已
lsass.exe 里很可能是存在两个敏感信息
1. 明文密码经过加密算法的密文 (这个加密算法是可逆的 能被解密出明文)
2. 明文密码经过hash算法做数字摘要认证的hash
(注意: 是加密算法 而不是hash算法 加密算法是可逆的 hash算法是不可逆的)
所以进程注入 lsass.exe 时 所调用的 sekurlsa.dll 应该包含了对应的解密算法
--------------------------------------------------------------------------------------
逆向功底比较好的童鞋可以尝试去逆向分析一下
直接去逆向分析下 sekurlsa.dll 的 getLogonPasswords 函数做了些什么
是直接从某处就取出了 wdigest
还是从某处先取出了 某些信息
然后有解密操作的过程
说不定能发现微软的一些小秘密哟 =..=~
比如 它的这个加密算法
---------------------------------------------- 作者回答 ----------------------------------------------
在作者blog里发现作者其实已经回答过这个问题了
没有明文存储 而是放在内存里 并且是可逆的 这样也就验证了我推测的第一种情况
1. 明文密码经过加密算法的密文 (这个加密算法是可逆的 能被解密出明文)
|
|
|---|---|
|
|
强大,沙发
|
|
|
|
|
|
|
|
|
强大个毛,如下面,根本访问不了进程
 |
|
|
|
|
|
|
|
|
强大,前来围观
|
|
|
|
|
|
把杀毒软件删掉,没有中文路径,还是不行
 |
|
|
|
|
|
 我是在虚拟机XP SP3环境下测试的。 ntlm和lm的hash导出,管理员密码直接明文显示出来的! 重启试试吧,反正这个是能够成功的。关键是大家来试试逆向这个原理,估计收获会不小的。 |
|
|
|
|
|
这么有意思,要试下
|
|
|
|
|
|
|
|
|
简单分析了下,DLL本身没有解密代码,结合了两个DLL获取了密码的原文。
有兴趣的同学,可以继续深入分析。 这里给出我分析几个点 1 通过 LsaEnumerateLogonSessions() 获取活动Session的LUID 2 在模块 wdigest 中 .text:7EAC538A 008 8B 0D AC E2 AC 7E mov ecx, ?l_LogSessList@@3U_LIST_ENTRY@@A ; _LIST_ENTRY l_LogSessList .text:7EAC5390 008 8B 45 08 mov eax, [ebp+arg_0] .text:7EAC5393 008 89 08 mov [eax], ecx .text:7EAC5395 008 C7 40 04 AC E2 AC 7E mov dword ptr [eax+4], offset ?l_LogSessList@@3U_LIST_ENTRY@@A ; _LIST_ENTRY l_LogSessList 获取导出变量地址 ?l_LogSessList@@3U_LIST_ENTRY@@A ; _LIST_ENTRY l_LogSessList l_LogSessList 变量地址 sekurlsa 10035868 3 遍历l_LogSessList 得到 指定LUID的密码密文。 枚举列表处理地址 sekurlsa 10014B80 4 调用在模块 lsasrv 中 内部函数LsaUnprotectMemory进行解密 LsaUnprotectMemory函数指针保存在 sekurlsa 10035870  佩服作者对系统安全机制的研究深度PS: getWDigest导出函数也可以获取密码。 不早了,明天还要Working。 
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
