详细分析Mimikatz：WDigest

访客4年前 (2021-01-18)黑客工具660

Mimikatz是个十分强劲工具，大家曾装包过、封裝过、引入过、应用powershell更新改造过这个工具，如今大家又逐渐向其键入运行内存dump数据信息。不论怎样，从Windows系统软件lsass获取凭证时，Mimikatz依然是优选工具。每每微软公司引进新的安全性控制 *** 时，GentilKiwi一直可以想十分招绕开防御力，这也是Mimikatz活力四射的缘故所属。殊不知假如大伙儿以前看了Mimikatz的源代码，就了解这绝非易事，该工具必须适用x86及x64的全部Windows版本号（近期还提升了对ARM架构Windows的适用）。伴随着Mimikatz的声名远扬，红队如今也是有各种各样 *** 可以检验这款工具。从源头上而言，假如总体目标自然环境中布署了目的性安全性体制，那麼在总体目标服务器上实行Mimikatz的个人行为就很有可能被检验到。

我一直以来都是在注重，大伙儿必须了解工具的內部基本原理，而不是实行脚本 *** 那么简易。如今安全性生产商一直都在降低并监管普遍的进攻 *** 及攻击面，而且会比大家发觉新方式的速率也要快，因而了解某类技术性对更底层API的启用能产生许多益处，很有可能防止大家的个人行为在重重的安全防护的自然环境中被检验出去。

在这类状况下，很多后渗入工具聚会以各种各样 *** 集成化Mimikatz这一工具。如今有一些安全性厂商会检验进程与lsass的互动个人行为，而大量厂商会去勤奋去鉴别Mimikatz个人行为特点。

我一直都想在一些情景下抽身Mimikatz的一些作用（主要是不方便或是不太可能转储运行内存数据信息的情景），但我却沒有好好地深入分析这款工具的更底层完成，这一点确实有点儿令人困惑。

因而过去2~3篇文章内容中，我逐渐探寻这款工具的內部完成，关键从WDigest逐渐科学研究。我重点关注的是密文凭证怎样缓存文件在lsass中，为何能够应用sekurlsa::wdigest来获取这种凭证。这一全过程必须反编译及其调节，而且想做到Mimikatz的高宽比是十分艰难的一件事，但最终大家会发觉，假如仅仅想完成Mimikatz中的一部分作用、根据源码来搭建自身的工具，那麼这一全过程還是十分非常值得去试着。

在文中中，我将讨论在lsass中载入随意DLL的别的方式，能够与文中的实例编码融合应用。

备注名称：文中很多采用了Mimikatz源码，Mimikatz开发者在这里上边花了很多活力。在我们在阅读文章源代码时，会发觉在其中牵涉到很多对外公布的构造，感受到开发人员的艰辛投入。这儿要谢谢Mimikatz、Benjamin Delpy及其Vincent Le Toux的优秀工作中。

0x01 sekurlsa::wdigest

如上所述，在文中中大家将重点关注WDigest，这也是Mimikatz最知名的一个作用。在Windows Server 2008 R2以前，系统软件默认设置状况下能缓存文件WDigest凭证，自此系统软件已不缓存文件密文凭证。

在逆向分析系统软件部件时，我一般喜爱attach调试器，观查部件怎样在运作全过程中与系统软件互动。悲剧的是，在这类情景下，我们无法简易地将WinDBG额外到lsass上，假如那么实际操作，Windows会停止运行，警示客户系统软件将要重新启动。因而，大家必须attach核心，随后从Ring-0转换到lsass进程。假如大伙儿以前沒有应用WinDBG attach核心，能够阅读文章我以前的文章内容，掌握怎么设置核心调试器。

attach核心调试器后，大家必须爬取lsass进程的EPROCESS详细地址，能够应用以下指令!process 0 0 lsass.exe：