SSP武器化

  • A+
所属分类:安全文章


 在C1Y2M3师傅看到的思路,师傅没有给出完整代码,这里来复现一下。


关于SSP的利用网上已经有很多的文章了,在16年左右三好学生师傅就已经对其有过详细的阐述,这里就不赘述了,或者可以来看snowming的文章(http://blog.leanote.com/post/snowming/ebdd89a8e83c)。都是基于注册表项来进行操作:


copy mimilib.dll %systemroot%system32
reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"
reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ


文件位置:


 C:Windowssystem32kiwissp.log



或者纯内存操作:


privilege::debug
misc::memssp


文件位置:


C:Windowssystem32mimilsa.log


而按照C1Y2M3师傅的思路就是


将动态库或是驱动文件打包进一个可执行文件中,再由需要使用的时候,再临时释放和加载。
通过调用 AddSecurityPackage API函数可以使 lsass.exe 进程加载指定的SSP / AP,无需重启


有了思路,我们就是来复现了。


编译环境:VS2015


首先新建一个控制台项目,然后,右键资源,新建资源


SSP武器化


选择自定义,然后随意命名之后,添加我们的资源。


SSP武器化


此时可以在自动添加的“resource.h”头文件中看到我们的资源ID宏;


SSP武器化


剩下的就是编写我们的代码了,代码的话我已经上传至了GitHub:https://github.com/lengjibo/RedTeamTools/tree/master/windows/CredSSP


大家看一下就可以明白了。


然后管理员权限运行,就可以抓到明文密码了。


SSP武器化


当然也可以利用c1y2m3师傅所说的,与HTTP.SYS进行结合。这里就不演示了。


参考文章:


https://c1y2m3.github.io/c1y2m3.github.io/2020/06/15/SSP/

http://www.mamicode.com/info-detail-2638519.html
https://www.4hou.com/posts/y6jW
https://blog.csdn.net/ayang1986/article/details/83351842



     ▼
更多精彩推荐,请关注我们

SSP武器化



本文始发于微信公众号(鸿鹄实验室):SSP武器化

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: