对于命令行参数中指定的每个应用程序,该 collect 模块检索远程主机上存储的与 C:WindowsTemp<tempdir> 该应用程序相对应的输出文件,并对它们进行解密。文件将从远程主机中删除,检索到的数据存储在 client/ouput/.
可以一次指定多个应用程序,或者,该 –all 标志可用于收集所有应用程序的日志。
所有模块均已在以下 Windows 版本上进行了测试:
| Windows版本 |
|---|
| Windows Server 2022 |
| Windows 服务器 2019 |
| Windows 服务器 2016 |
| Windows Server 2012R2 |
| Windows 10 |
|
Windows 11 |
对于命令行参数中指定的每个应用程序,该 poison模块都会检索将要被劫持的原始库(对于COM劫持和DLL代理),编译与原始DLL的属性匹配的库,将其上传到服务器,并如果需要执行 COM 劫持,请修改注册表。
为了加快所有库的编译过程,在 client/cache/.
–mstsc、 –rdcman、 和 –mobaxterm 分别有特定选项 –mstsc-poison-hkcr、 –rdcman-poison-hkcr、 和 –mobaxterm-poison-hkcr。如果指定了这些选项之一,COM 劫持将替换配置 HKCR 单元中的注册表项,这意味着所有用户都将受到影响。默认情况下,只有所有当前登录的用户受到影响(所有拥有 HKCU 配置单元的用户)。
–keepass 并 –keepassxc 具有特定选项 、 –keepass-path和 –keepass-share, –keepassxc-path来 –keepassxc-share指定这些应用程序的安装位置(如果不是默认安装路径)。对于其他应用程序来说这不是必需的,因为使用了 COM 劫持。
KeePass 模块需要 Visual C++ Redistributable 安装在目标上。
可以一次指定多个应用程序,或者 –all 可以使用该标志来定位所有应用程序。
项目地址:
https://pan.quark.cn/s/82126aad9fc8
原文始发于微信公众号(TtTeam):Dumppassword – ThivingFox
