Custom SSP
Власний SSP
Дізнайтеся, що таке SSP (Постачальник підтримки безпеки) тут. Ви можете створити власний SSP, щоб захопити в чистому тексті облікові дані, які використовуються для доступу до машини.
Mimilib
Ви можете використовувати бінарний файл mimilib.dll
, наданий Mimikatz. Це буде реєструвати всі облікові дані в чистому тексті всередині файлу.
Розмістіть dll у C:\Windows\System32\
Отримайте список існуючих пакунків безпеки LSA:
```bash PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
І після перезавантаження всі облікові дані можна знайти у відкритому вигляді в C:\Windows\System32\kiwissp.log
У пам'яті
Ви також можете впровадити це безпосередньо у пам'ять за допомогою Mimikatz (зверніть увагу, що це може бути трохи нестабільним/не працювати):
Це не виживе перезавантажень.
Заходи запобігання
Подія ID 4657 - Аудит створення/зміни HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages
Last updated