# 恶意认证包

在之前的内容里，我们知道 AP/SSP 通过分析登陆数据来认证 Windows 用户，不同的 AP/SSP 对多种登陆过程以及认证协议提供支持。AP/SSP 以 DLL 形式存在，被 LSA 所加载和使用。常见的 AP/SSP 有 NTLM，Kerberos，WDigest，Credman 等。Mimikatz 提供恶意的SSP文件 **mimilib.dll**，此 SSP 在目标服务器上以**明文形式**记录本地登录、服务帐户和计算机帐户密码。我们可以通过自动和手动的方式来利用自定义SSP实现持久化。

### **自动**

在 Cobalt Strike 上使用 mimikatz 命令及 misc::memssp 子选项实现植入后门 SSP。

```
mimikatz misc::memssp
```

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/OOHZkOE7NkOfUYHf-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/OOHZkOE7NkOfUYHf-image.png)

之后可以在 **C:\\Windows\\system32\\mimilsa.log** 查看明文登陆日志。

[![image.png](https://raven-medicine.com/uploads/images/gallery/2023-06/scaled-1680-/NTYAi8irosSw62ob-image.png)](https://raven-medicine.com/uploads/images/gallery/2023-06/NTYAi8irosSw62ob-image.png)