渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言


在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。

在实际的渗透过程中,如果发现了远程桌面连接的历史记录,那么下一步就需要想办法获取远程桌面连接使用的口令。

本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。

RdpThief地址:

https://github.com/0x09AL/RdpThief

0x01 简介


本文将要介绍以下内容:

  • 获取远程桌面连接口令的思路
  • 使用Detours库hook系统API的方法
  • 使用API monitor监控系统API调用的方法
  • 使用RdpThief从远程桌面客户端提取明文凭据

0x02 获取远程桌面连接口令的思路


通常有以下两种:

1.使用键盘记录程序,记录mstsc.exe在启动过程中用户输入的口令

2.在mstsc.exe启动时,读取mstsc.exe的内存数据,提取出用户输入的口令

RdpThief是第二种实现思路,使用Detours库hook系统API,使用API monitor监控系统的API调用,找到mstsc.exe在内存中存储明文口令的位置,代码简洁有效。

0x03 使用Detours库hook系统API的方法


RdpThief在实现上使用Detours库来hook系统API,所以这里简要介绍一下Detours库的用法

Detours库用于监视和检测Windows上的API调用,可以用来hook系统API

这里介绍使用Detours库hook系统API的两种方法

1.编译Detours源码并使用

(1)编译Detours源码

下载Detours源码,地址如下:

https://github.com/Microsoft/Detours

使用Visual Studio编译Detours源码(这里以VS2015为例),需要区分32位和64位

64位编译:

打开VS2015 x64 本机工具命令提示符

执行以下命令:

cd Detours-master\src
nmake

命令执行后将在文件夹Detours-master下生成以下三个文件夹,包括Detours的头文件和库文件

  • bin.X64
  • include
  • lib.X64

32位编译:

打开VS2015本机工具命令提示符

执行以下命令:

cd Detours-master\src
nmake

命令执行后将在文件夹Detours-master下生成以下三个文件夹,包括Detours的头文件和库文件

  • bin.X86
  • include
  • lib.X86

(2)导入Detours

在新建的C++工程中添加对应版本的头文件:

  • detours.h
  • detours.lib

代码如下:

#include "detours.h"
#pragma comment (lib,"detours.lib")

2.通过Install-Package自动安装

(1)安装

在Visual Studio中选择工具->NuGet包管理器->程序包管理器控制台

输入安装命令:

Install-Package Detours

将会自动安装Detours库,如下图

Alt text

(2)导入Detours

代码如下:

#include <detours.h>
#pragma comment (lib,"detours.lib")

使用Detours库hook系统API时常用的几个函数:

  • DetourTransactionBegin();
  • DetourUpdateThread(GetCurrentThread());
  • DetourAttach();
  • DetourDetach();
  • DetourTransactionCommit()

Hook系统API Messagebox()的实例代码如下:

#include <Windows.h>
#include <detours.h>
#pragma comment (lib,"detours.lib")
static int(WINAPI *TrueMessageBox)(HWND, LPCTSTR, LPCTSTR, UINT) = MessageBox;
int WINAPI OurMessageBox(HWND hWnd, LPCTSTR lpText, LPCTSTR lpCaption, UINT uType) {
	return TrueMessageBox(NULL, L"Hooked", lpCaption, 0);
}
int main()
{
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourAttach(&(PVOID&)TrueMessageBox, OurMessageBox);
	DetourTransactionCommit();
	MessageBox(NULL, L"Hello", L"Hello", 0);
	DetourTransactionBegin();
	DetourUpdateThread(GetCurrentThread());
	DetourDetach(&(PVOID&)TrueMessageBox, OurMessageBox); 
	DetourTransactionCommit();
}

0x04 使用API monitor监控系统API调用的方法


RdpThief使用API monitor监控系统的API调用,找到mstsc.exe在内存中存储明文口令的位置,这里简要介绍一下API monitor的用法

API monitor的下载地址:

http://www.rohitab.com/downloads

运行后需要选择进行监控的模块,如下图

Alt text

接着选择需要监控的进程,如下图

Alt text

API monitor将会监控进程运行时调用的API,如下图

Alt text

0x05 RdpThief测试


介绍RdpThief细节的文章:

https://www.mdsec.co.uk/2019/11/rdpthief-extracting-clear-text-credentials-from-remote-desktop-clients/

RdpThief的代码里包括三部分内容:

1.C++工程,编译生成dll

编译生成的dll,需要注入到mstsc.exe进程中

这里可以使用我之前写的dll注入的代码,地址如下:

https://github.com/3gstudent/Homework-of-C-Language/blob/master/NtCreateThreadEx%20%2B%20LdrLoadDll.cpp

但是需要把FreeDll()的功能去掉,dll需要一直在进程mstsc.exe的内存中,用来记录用户输入的口令

2.RdpThief_x64.tmp

shellcode格式的dll,作者使用sRDI将编译好的dll转换为shellcode格式,便于cna脚本的调用

3.RdpThief.cna

Colbalt Strike使用的cna脚本,用于注入shellcode格式的dll

支持三个命令:

  • rdpthief_enable,每5秒搜索mstsc.exe并将dll注入
  • rdpthief_disable,停止rdpthief_enable,但不会卸载注入的dll
  • rdpthief_dump,显示抓取的凭据,默认读取路径为%temp%\data.bin

实际测试

预期功能:

在mstsc.exe中输入用户名口令后,无论是否正确,都会被记录在文件%temp%\data.bin

1.在Win10下没有问题

2.在Win7下能够获得输入的用户名和口令,但无法获得Server名称

查找问题原因:

RdpThief在实现上通过捕获API SspiPrepareForCredRead()获得Server名称

在Win7系统下,我使用API monitor监控系统调用的API,发现不存在这个API,如下图

Alt text

找到问题的原因

解决方法1:

通过搜索,发现API CredReadW() 能够记录Server名称,如下图

Alt text

所以可以尝试hook API CredReadW ,示例代码如下:

static BOOL(WINAPI *OriginalCredReadW)(LPCWSTR TargetName, DWORD Type, DWORD Flags, PCREDENTIALW *Credential) = CredReadW;
BOOL HookedCredReadW(LPCWSTR TargetName, DWORD Type, DWORD Flags, PCREDENTIALW *Credential)
{
	lpServer = TargetName;
	return OriginalCredReadW(TargetName, Type, Flags, Credential);
}

添加Attach和Detach代码:

DetourAttach(&(PVOID&)OriginalCredReadW, HookedCredReadW);
DetourDetach(&(PVOID&)OriginalCredReadW, HookedCredReadW);

解决方法2:

远程桌面建立连接后会在注册表保存远程桌面连接的记录,这里可以通过读取远程桌面连接的历史记录获得Server名称

使用的脚本地址:

https://github.com/3gstudent/List-RDP-Connections-History/blob/master/ListLogged-inUsers.ps1

0x06 小结


本文介绍了使用Detours库hook系统API和使用API monitor监控系统API调用的方法,测试RdpThief,分享在Win7下使用时获得Server名称的方法,实现了从远程桌面客户端提取明文凭据。


LEAVE A REPLY

Written on November 18, 2019