如何使用Aggrokatz提取LSASS导出文件和注册表中的敏感数据

如何使用Aggrokatz提取LSASS导出文件和注册表中的敏感数据

关于Aggrokatz

Aggrokatz是一款CobaltStrike攻击扩展插件,它能够启用pypykatz实现针对Beacon的远程交互。

当前版本的Aggrokatz允许pypykatz解析LSASS导出文件和注册表项文件,并在无需下载文件或向Beacon上传可疑代码的情况下,从中提取出用户凭证和其他存储的敏感信息。将来,该项目还会提供更多的额外功能来实现更隐蔽的活动,比如说搜索和解密所有的DPAPI密钥等等。

工具要求

你需要安装并配置好pycobalt;

你需要安装并配置好pypykatz,版本必须>=0.4.8;

你需要安装并配置好Cobalt Strike;

项目下载

广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/sec-consult/aggrokatz

工具安装

确保pycobalt的cna文件已配置正确,并且能够识别你Python解释器的路径;

修改cna文件中的pycobalt_path,令其指向pycobalt.cna;

在Cobalt Strike中,访问View > Script Console和Cobalt Strike > Script Manager,使用Script Manager加载本项目中的cna脚本。

工具使用

如果cna脚本加载成功,你将会在右键点击一个Beacon时看到一个名为“pypykatz”的新菜单选项;

在解析过程中,你将会在Script Console窗口中查看到调试信息;

解析完成之后,结果将会在Script Console窗口和Beacon窗口中查看到解析结果;

LSASS导出解析菜单参数

LSASS file:远程主机中lsass.dmp文件的路径位置,你还可以使用UNC路径并通过SMB来访问共享的lsass.dmp文件。

chunksize:一次读取的最大数据量。

BOF file:BOF文件(Beacon对象文件),这个文件将在每次进行数据块读取的时候上传并在内存中执行。

(module):指定需要解析的模块,默认为:全部(all)。

Output:指定输出格式。

Populate Credential tab:成功解析所有获取到的凭证之后,将可以在Cobalt Strike的Credential标签页中查看到,该功能目前还在测试中。

Delete remote file after parsing:成功解析LSASS导出文件后,将会从目标主机中删除。

注册表导出解析菜单参数

SYSTEM file:远程主机中SYSTEM.reg文件的路径位置,你还可以使用UNC路径并通过SMB来访问共享的文件。

SAM file(可选):远程主机中SAM.reg文件的路径位置,你还可以使用UNC路径并通过SMB来访问共享的文件。

SECURITY file(可选):远程主机中SECURITY.reg文件的路径位置,你还可以使用UNC路径并通过SMB来访问共享的文件。

SOFTWARE file(可选):远程主机中SOFTWARE.reg文件的路径位置,你还可以使用UNC路径并通过SMB来访问共享的文件。

chunksize:一次读取的最大数据量。

BOF file:BOF文件(Beacon对象文件),这个文件将在每次进行数据块读取的时候上传并在内存中执行。

Output:指定输出格式。

工具限制

文件读取BOF当前仅支持最大的文件大小为4GB,但这个限制可以通过一些修改来扩展,但是到目前为止还没有观察到如此大的文件。

项目地址

Aggrokatz:GitHub传送门

参考资料

https://www.cobaltstrike.com/

https://github.com/skelsec/pypykatz

https://r.sec-consult.com/aggrokatz

https://github.com/dcsync/pycobalt

给TA买糖
共{{data.count}}人
人已赞赏
黑客技术

Sqlmap使用教程(必备命令)

2021-7-31 11:47:55

黑客技术

CamRaptor:一款针对DVR摄像头的漏洞利用工具

2021-8-4 21:58:59

    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索