Custom SSP
Benutzerdefinierte SSP
Erfahren Sie hier, was ein SSP (Security Support Provider) ist. Sie können Ihren eigenen SSP erstellen, um die zum Zugriff auf die Maschine verwendeten Anmeldeinformationen im Klartext zu erfassen.
Mimilib
Sie können die von Mimikatz bereitgestellte Binärdatei mimilib.dll
verwenden. Dies protokolliert alle Anmeldeinformationen im Klartext in einer Datei.
Legen Sie die DLL in C:\Windows\System32\
ab.
Erhalten Sie eine Liste der vorhandenen LSA-Sicherheitspakete:
Fügen Sie mimilib.dll
zur Liste der Sicherheitsunterstützungsanbieter (Security Packages) hinzu:
Und nach einem Neustart können alle Anmeldeinformationen im Klartext in C:\Windows\System32\kiwissp.log
gefunden werden.
Im Speicher
Sie können dies auch direkt im Speicher injizieren, indem Sie Mimikatz verwenden (beachten Sie, dass dies möglicherweise etwas instabil/nicht funktionierend ist):
Dies überlebt keine Neustarts.
Abhilfe
Ereignis-ID 4657 - Überwachung der Erstellung/Änderung von HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated