之前在乌云转载了三好学生的这篇文章,详细讲述了什么是SSP(Security Support Provider) 以及如何使用 mimilib.dll&注册表 来维持域控权限。这里再记录一下如何使用mimikatz的ssp注入lsass进程来实现记录密码的目的(重启失效)
这个新注入的ssp可以记录计算机账户密码,运行服务凭据和登陆的任何账户
在非域环境下测试,生成的密码记录文件默认位置在 system32\mimilsa.log
防御方法:
监控cmd和powershell在域控上的运行
在之前的文章中介绍了两种维持域控权限的方法——SSP和Skeleton Key,这两种方法均需要借助Mimikatz来实现,或多或少存在一些不足,所以这次接着介绍一个更加隐蔽且不需要使用Mimikatz的后门方法——Hook PasswordChangeNotify.
Hook PasswordChangeNotify这个概念最早是在2013年9月15日由clymb3r提出,通过Hook PasswordChangeNotify拦截修改的帐户密码。
需要了解的相关背景知识如下:
上篇介绍了利用SSP来维持域控权限,美中不足在于其需要域控重启才能生效,而在众多的域渗透方法中,当然存在不需要域控重启即能生效的方法,所以这次就介绍其中的一个方法——Skeleton Key
在之前的文章中介绍了一些域环境中的渗透方法和技巧,所以这次接着介绍一个用来维持域控权限的方法——SSP.
SSP:
Security Support Provider,直译为安全支持提供者,又名Security Package.
简单的理解为SSP就是一个DLL,用来实现身份认证,例如:
对于一个攻击者来说,有很多方法能在活动目录中获得域管理员权限。这篇文章旨在介绍一些当下比较流行的方法,这里介绍的方法都基于一个前提——攻击者已经获得内网中一台(或几台)机器的权限并且获得了普通域用户的账户。