PyHook: API Hooking ofensivo para obtener credenciales hackplayers

Hooking ya no es un concepto nuevo, muchos proveedores de AV/EDR utilizan esta técnica para monitorizar llamadas API sospechosas. Pero, evidentemente, no siempre se utiliza con motivos defensivos…

Precisamente en esta entrada hablamos de PyHook de Ilan Kalendarov es una implementación en Python del proyecto SharpHook que usa varios hooks de API…  pero para obtener credenciales en el sistema comprometido. 

PyHook usa Frida para inyectar sus dependencias en el proceso objetivo. Los procesos soportados son:

ProcesoAPI CallObjetivo
mstscCredUnPackAuthenticationBufferWUsuario y contraseña
runasCreateProcessWithLogonWUsuario, contraseña y nombre de dominio.
cmdRtlInitUnicodeStringExFiltra palabras clave como: PsExec,password etc..
MobaXtermCharUpperBuffACredenciales de logins SSH y RDP
explorer (UAC Prompt)CredUnPackAuthenticationBufferWUsuario, contraseña y nombre de dominio para el prompt UAC

Demo

Fuente obtenida de: https://www.hackplayers.com/2021/08/pyhook-api-hooking-ofensivo.html

Compartelo en las redes sociales

Compartir en facebook Compartir en google+ Compartir en twitter Compartir en pinterest Compartir en likedin Compartir en WhatsApp

Sobre Kamal Majaiti 1561 artículos
Administrador de sistemas e informático por vocación.

Sé el primero en comentar

Dejar una contestacion

Tu dirección de correo electrónico no será publicada.


*


Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.