This is stars and forks stats for /Push3AX/GrabAccess repository. As of 27 Apr, 2024 this repository has 237 stars and 48 forks.
GrabAccess GrabAccess是用于绕过Windows登录密码和Bitlocker的工具。 在物理接触的条件下,可以植入Shift键后门或指定的木马程序。 快速开始 GrabAccess最基础的功能是安装Shift键后门,将Windows粘滞键替换为任务管理器。在未登录的情况下,攻击者可以借此执行系统命令或读写文件。 准备一个U盘。如果是FAT16或FAT32格式,则可以不删除已有的文件。否则需要格式化为上述格式。 下载GrabAccess_Release.zip,解压,将其中的EFI文件夹拷贝到U盘根目录。 将U盘插入电脑,重启。在启动时进入BIOS菜单。 选择从U盘启动,或设置U盘为第一启动项(如果BIOS开启了Security Boot,还需将其设置为DISABLE). 如果在Windows引导阶段,出现了伪造的CHKDSK界面,说明后门已经植入成功。 在登录界面,连续按下五次Shift键,即可唤出任务管理器。 自动化植入木马 GrabAccess提供了自动化植入木马程序的功能,并且会自动将其添加到启动项。 要使用该功能,需要预先将GrabAccess与要植入的程序打包: 下载GrabAccess_Release.zip,解压。 将需要植入的程序,命名为payload.exe,替换目录下的同名文件。 运行build.bat。 将EFI文件夹复制到U盘根目录。 (U盘如果是FAT16或FAT32格式,则可以不删除已有的文件。否则需要格式化为上述格式。) 将U盘插入电脑,重启电脑。在启动时进入BIOS菜单。 选择从U盘启动,或设置U盘为第一启动项(如果BIOS开启了Security Boot,还需将其设置为DISABLE). 如果在Windows引导阶段,出现了伪造的CHKDSK界面,说明后门已经植入成功。 在登陆系统后,payload.exe将会自动启动。 绕过Bitlocker GrabAccess的自动化植入功能,可以绕过Bitlocker的系统盘加密。 当从含有GrabAccess的U盘启动后,GrabAccess的应用程序就会写入到内存中。此时可以拔出U盘,但需要停留在Bitlocker输入密码的界面,等待受害者返回输入密码。不可直接关机或重启。 因为只有Bitlocker解锁之后,GrabAccess的应用程序才会被写入磁盘并执行。在这之前,GrabAccess仅仅临时存在于内存之中。如果在受害者登录之前重启或关机,GrabAccess将会失效。 Credits Windows Platform Binary Table (WPBT) Grub2 by a1ive Windows Native App by Fox 解析 Windows Platform Binary Table 和Kon-boot篡改Windows内核不同,GrabAccess的工作原理,源自于Windows的一项合法后门:WPBT(Windows Platform Binary Table)。 WPBT常用于计算机制造商植入驱动管理软件、防丢软件。类似Bootkit病毒,一旦主板中存在WPBT条目,无论是重装系统还是更换硬盘,只要使用Windows系统,开机后都会被安装指定程序。 WPBT的原始设计,应当是由生产商在主板的UEFI固件中插入一个特定的模块实现。但是,通过劫持UEFI的引导过程,攻击者可以插入WPBT条目,而无需修改主板固件。 GrabAccess做了什么 GrabAccess包含两个部分。 其一是用于写入WPBT条目的UEFI应用程序,即源码中的Grab2。是一个修改过的Grab2,包含用于加载WPBT的模块。 其二是一个Windows Native Application,即源码中的NativeAPP。负责写出文件、添加启动项、劫持Windows粘滞键。 在GrabAccess启动之后,Grab2会向内存中写入WPBT条目。接下来Windows正常引导。并加载和执行Native APP。 Native APP做了什么 WPBT所加载的应用程序,并非常规的Win32程序。而是一个Windows Native Application。它在Windows引导过程中执行,早于用户登录。但是Windows提供给Native APP的API,也少于Win32程序。 GrabAccess_Release_v1/bin/nativex64.exe是一个Windows Native App,在Windows引导过程中运行。首先将其末尾的程序写入到: C:\Windows\System32\NTUpdateService.exe 后添加注册表项目: \Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 实现自启动,以及劫持Shift键。 绕过签名校验 Windows在加载Native APP时,会对其进行签名校验。但该过程不会验证签名的有效期,以及签名是否已经被吊销(CVE-2022-21836)。 GrabAccess使用了Hacking Team泄漏,并已经被吊销的数字签名,对Native APP进行签名。 Windows对该漏洞的修复方法,是在driver.stl中添加了一个黑名单,禁止一系列泄漏的数字签名。未来Hacking Team的签名可能会失效,需要更新为其它泄漏的签名。 二次开发 GrabAccess是对WPBT武器化利用的一个开源实现。开源协议为GPL。读者可以按照需求二次开发,尤其是通过修改其中的Native APP。 目前写入启动项和劫持Shift键的实现,只使用了最基础的手段。如有需要,可以自行编写更高级和隐蔽的后渗透技巧。 源码中的Grab2,需要在Linux环境下编译。理论上BuildGrabAccess.sh脚本可以完成环境的配置和编译。 源码中的Windows Native APP。对其编译需要配置Windows Driver Kits环境。环境配置完成后,在x64 Free Build Environment中运行Build64.bat,即可完成编译。
GrabAccess GrabAccess是用于绕过Windows登录密码和Bitlocker的工具。 在物理接触的条件下,可以植入Shift键后门或指定的木马程序。 快速开始 GrabAccess最基础的功能是安装Shift键后门,将Windows粘滞键替换为任务管理器。在未登录的情况下,攻击者可以借此执行系统命令或读写文件。 准备一个U盘。如果是FAT16或FAT32格式,则可以不删除已有的文件。否则需要格式化为上述格式。 下载GrabAccess_Release.zip,解压,将其中的EFI文件夹拷贝到U盘根目录。 将U盘插入电脑,重启。在启动时进入BIOS菜单。 选择从U盘启动,或设置U盘为第一启动项(如果BIOS开启了Security Boot,还需将其设置为DISABLE). 如果在Windows引导阶段,出现了伪造的CHKDSK界面,说明后门已经植入成功。 在登录界面,连续按下五次Shift键,即可唤出任务管理器。 自动化植入木马 GrabAccess提供了自动化植入木马程序的功能,并且会自动将其添加到启动项。 要使用该功能,需要预先将GrabAccess与要植入的程序打包: 下载GrabAccess_Release.zip,解压。 将需要植入的程序,命名为payload.exe,替换目录下的同名文件。 运行build.bat。 将EFI文件夹复制到U盘根目录。 (U盘如果是FAT16或FAT32格式,则可以不删除已有的文件。否则需要格式化为上述格式。) 将U盘插入电脑,重启电脑。在启动时进入BIOS菜单。 选择从U盘启动,或设置U盘为第一启动项(如果BIOS开启了Security Boot,还需将其设置为DISABLE). 如果在Windows引导阶段,出现了伪造的CHKDSK界面,说明后门已经植入成功。 在登陆系统后,payload.exe将会自动启动。 绕过Bitlocker GrabAccess的自动化植入功能,可以绕过Bitlocker的系统盘加密。 当从含有GrabAccess的U盘启动后,GrabAccess的应用程序就会写入到内存中。此时可以拔出U盘,但需要停留在Bitlocker输入密码的界面,等待受害者返回输入密码。不可直接关机或重启。 因为只有Bitlocker解锁之后,GrabAccess的应用程序才会被写入磁盘并执行。在这之前,GrabAccess仅仅临时存在于内存之中。如果在受害者登录之前重启或关机,GrabAccess将会失效。 Credits Windows Platform Binary Table (WPBT) Grub2 by a1ive Windows Native App by Fox 解析 Windows Platform Binary Table 和Kon-boot篡改Windows内核不同,GrabAccess的工作原理,源自于Windows的一项合法后门:WPBT(Windows Platform Binary Table)。 WPBT常用于计算机制造商植入驱动管理软件、防丢软件。类似Bootkit病毒,一旦主板中存在WPBT条目,无论是重装系统还是更换硬盘,只要使用Windows系统,开机后都会被安装指定程序。 WPBT的原始设计,应当是由生产商在主板的UEFI固件中插入一个特定的模块实现。但是,通过劫持UEFI的引导过程,攻击者可以插入WPBT条目,而无需修改主板固件。 GrabAccess做了什么 GrabAccess包含两个部分。 其一是用于写入WPBT条目的UEFI应用程序,即源码中的Grab2。是一个修改过的Grab2,包含用于加载WPBT的模块。 其二是一个Windows Native Application,即源码中的NativeAPP。负责写出文件、添加启动项、劫持Windows粘滞键。 在GrabAccess启动之后,Grab2会向内存中写入WPBT条目。接下来Windows正常引导。并加载和执行Native APP。 Native APP做了什么 WPBT所加载的应用程序,并非常规的Win32程序。而是一个Windows Native Application。它在Windows引导过程中执行,早于用户登录。但是Windows提供给Native APP的API,也少于Win32程序。 GrabAccess_Release_v1/bin/nativex64.exe是一个Windows Native App,在Windows引导过程中运行。首先将其末尾的程序写入到: C:\Windows\System32\NTUpdateService.exe 后添加注册表项目: \Registry\Machine\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe 实现自启动,以及劫持Shift键。 绕过签名校验 Windows在加载Native APP时,会对其进行签名校验。但该过程不会验证签名的有效期,以及签名是否已经被吊销(CVE-2022-21836)。 GrabAccess使用了Hacking Team泄漏,并已经被吊销的数字签名,对Native APP进行签名。 Windows对该漏洞的修复方法,是在driver.stl中添加了一个黑名单,禁止一系列泄漏的数字签名。未来Hacking Team的签名可能会失效,需要更新为其它泄漏的签名。 二次开发 GrabAccess是对WPBT武器化利用的一个开源实现。开源协议为GPL。读者可以按照需求二次开发,尤其是通过修改其中的Native APP。 目前写入启动项和劫持Shift键的实现,只使用了最基础的手段。如有需要,可以自行编写更高级和隐蔽的后渗透技巧。 源码中的Grab2,需要在Linux环境下编译。理论上BuildGrabAccess.sh脚本可以完成环境的配置和编译。 源码中的Windows Native APP。对其编译需要配置Windows Driver Kits环境。环境配置完成后,在x64 Free Build Environment中运行Build64.bat,即可完成编译。
| repo | techs | stars | weekly | forks | weekly |
|---|---|---|---|---|---|
| github/trilogy | CRubyOther | 606 | +22 | 52 | 0 |
| alibaba/xquic | CShellCMake | 1.5k | 0 | 302 | 0 |
| wren-lang/wren | WrenCMakefile | 6.5k | +10 | 535 | +1 |
| armink/EasyLogger | C | 3.1k | +9 | 1.1k | +4 |
| unikraft/unikraft | CPythonPerl | 1.6k | 0 | 1k | 0 |
| 2881099/FreeIM | C#HTMLDockerfile | 1.3k | 0 | 399 | 0 |
| Kudaes/Elevator | C++RustC | 499 | 0 | 61 | 0 |
| zodiacon/DbgPrint | C++C | 58 | 0 | 10 | 0 |
| pliant/configure | Clojure | 2 | 0 | 1 | 0 |
| IGJoshua/farolero | ClojureJava | 323 | +1 | 5 | 0 |