Custom SSP
Niestandardowy SSP
Dowiedz się, czym jest SSP (Dostawca Wsparcia Bezpieczeństwa) tutaj. Możesz stworzyć własny SSP, aby przechwycić w czystym tekście dane uwierzytelniające używane do dostępu do maszyny.
Mimilib
Możesz użyć binarnej mimilib.dll
dostarczonej przez Mimikatz. Spowoduje to zapisanie w pliku wszystkich danych uwierzytelniających w czystym tekście.
Upuść plik dll w C:\Windows\System32\
Pobierz listę istniejących pakietów zabezpieczeń LSA:
```bash PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
I po ponownym uruchomieniu wszystkie poświadczenia można znaleźć w formie tekstu jawnego w C:\Windows\System32\kiwissp.log
W pamięci
Możesz także wstrzyknąć to bezpośrednio w pamięć za pomocą Mimikatz (zauważ, że może to być trochę niestabilne/nie działać):
To nie przetrwa ponownego uruchomienia.
Mitygacja
Identyfikator zdarzenia 4657 - Audyt tworzenia/zmiany HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated