首先说一下SSP,安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码,或者直接用恶意的SSP对该进程进行修补而无需接触磁盘。
该技术需要管理员权限,可用于收集系统的凭证,这里用mimikatz介绍两种,一种是 注册SSP DLL ,二种是 加载到内存
注册SSP DLL
Mimikatz压缩包中提供了 mimilib.dll DLL文件,放在lsass.exe同级目录下
1)将mimilib.dll复制到c:\windows\system32下
2)修改注册表
位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
Security Packages的值设置为mimilib.dll
3)等待系统重新启动
系统重新启动后,在c:\windows\system32生成文件kiwissp.log,记录当前用户的明文口令
加载到内存
当用户再次通过系统进行身份验证时,将在System32中创建一个日志文件,其中将包含纯文本用户密码,此操作不需要重启目标机子,只需要锁屏对方再登陆时即可记录下明文密码。但是,缺点是在重新启动过程中不会持续存在
privilege::debug
misc::memssp exit
当看到Injected =)的时候,表明已经注入成功。
接下来就是使target的屏幕锁屏,终端键入
rundll32.exe user32.dll,LockWorkStation命令
用户再次输入账号密码登录时,明文密码将记录C:\Windows\System32\mimilsa.log
SSP,安全支持提供程序SSP是windows API ,用于扩展Windows身份验证机制 。lsass(本地安全和登录策略)在Windows启动期间加载SSP,这样攻击者便可与lsass交互并记录该进程中所有的交互密码
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· TypeScript + Deepseek 打造卜卦网站:技术与玄学的结合
· 阿里巴巴 QwQ-32B真的超越了 DeepSeek R-1吗?
· 【译】Visual Studio 中新的强大生产力特性
· 10年+ .NET Coder 心语 ── 封装的思维:从隐藏、稳定开始理解其本质意义
· 【设计模式】告别冗长if-else语句:使用策略模式优化代码结构