一、
翻了半天源码. 但苦于这方面的知识储备太少. 特来请教.

misc::skeleton模块对应的文件是kuhl_m_misc.c, 
但里面没有找到关于那个 “主密码-MasterKey” （又名万能钥匙）的定义.

唯一推理和怀疑的是以下两个函数: 
kuhl_misc_skeleton_rc4_init
kuhl_misc_skeleton_rc4_init_decrypt
里定义的DWORD kiwiKey[] = {0Xca4fba60, 0x7a6c46dc, 0x81173c03, 0xf63dc094};
这个长度是32, 正好符合NTLM HASH的固定长度值. 初步怀疑是NTLM HASH，并且对应密码为mimikatz。逐步开始验证。

二、
搜索看雪论坛，发现在另外一篇帖子也提及了mimikatz skeleton, 
http://bbs.pediy.com/showthread.php?t=207262

在3楼的回复里提及了:
https://www.secureworks.com/research/skeleton-key-malware-analysis

阅读这个URL里的内容，发现其是另外两个实现skeleton Key的DLL注入应用的介绍，其中关键提及了DLL的使用方法：

"Use the PsExec utility to run the Skeleton Key DLL remotely on the target domain controllers using the rundll32 command. 
The threat actor's chosen password is formatted as an NTLM password hash rather than provided in clear text. After Skeleton Key is deployed, 
the threat actor can authenticate as any user using the threat actor's configured NTLM password hash: 
psexec -accepteula \\%TARGET-DC% rundll32 <DLL filename> ii <NTLM password hash>"

说明其他实现类似应用的工具和程序使用了NTLM HASH作为DLL注入时使用的MASTETKEY.从而实现了自主设定万能钥匙。

三、
下载SAMinside这个工具
http://www.crsky.com/soft/11678.html
利用其中的Tools->LM/NT-Hash Generator, 密码输入mimikatz，得到的NTLM HASH: 60BA4FCADC466C7A033C178194C03DF6

罗嗦了半天，问题终于来了，mimikatz里的misc::skeleton所使用的万能密码"mimikatz"到底是怎么产生的，在何处定义？

为何以上一和二看似对头的思路，最后却是完全无法匹配的两串NTLM HASH:

ca4fba607a6c46dc81173c03f63dc094
60BA4FCADC466C7A033C178194C03DF6

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)