AD域SSP安全防护

已于 2022-04-04 23:50:14 修改
阅读量1.1k 收藏 1
点赞数
分类专栏: 内网渗透 域渗透 文章标签: 安全
于 2020-05-05 12:31:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41082546/article/details/105930826
版权

一、简介

  SSP(Security Support Provider)是windows操作系统安全机制的提供者。简单的说,SSP就是DLL文件,主要用于windows操作系统的身份认证功能,例如NTLM、Kerberos、Negotiate、Secure Channel(Schannel)、Digest、Credential(CredSSP)。

  SSPI(Security Support Provider Interface,安全支持提供程序接口)是windows操作系统在执行认证操作时使用的API接口。可以说SSPI就是SSP的API接口。

如果获得目标系统system权限,可以使用该方法进行持久化操作。其主要原理是:LSA(Local Security Authority)用于身份验证;lsass.exe作为windows的系统进程,用于本地安全和登录策略;在系统启动时,SSP将被加载到lsass.exe 进程中。但是,假如攻击者对LSA进行了扩展,自定义了恶意的DLL文件,在系统启动时将其加载到lsass.exe进程中,就能够获取lsass.exe进程中的明文密码。这样即使用户更改密码并重新登录,攻击者依然可以获得该账号的新密码。

二、实验操作

实验一:

使用mimikatz将伪造的SSP注入内存,这样做不会在系统中留下二进制文件,但如果域控制器重启,被注入内存的伪造的SSP将会丢失。

privilege::debug

misc::memssp

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Micr067
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
控制器DSRM账户安全防护
weixin_41082546的博客
05-05 1331
一、DSRM简介    1.DSRM(Diretcory Service Restore Mode,目录服务恢复模式)是windows环境中控制器的安全模式启动选项。控制器的本地管理员账户也就是DSRM账户,DSRM密码是在DC创建时设置的,一般很少更改。DSRM的用途是:允许管理员在环境出现故障时还原、修复、重建活动目录数据库。通过在DC上运行ntdsutil 工具可以修改DSRM密码...
详细解析关于控制器的安全保障
weixin_33781606的博客
05-11 546
2019独角兽企业重金招聘Python工程师标准>>> ...
安全科普】AD安全管理(一)
ZAWX_NETSTARSEC的博客
08-31 928
活动目录(AD)凭借其独特管理优势,从众多企业管理服务中脱颖而出,成为内网管理中的佼佼者。采用活动目录来管理的内网,称为AD。 了解AD,有助于企业员工更好地与其它部门协作,同时提高安全意识。中安网星由此推出AD安全科普系列,为大家讲解AD安全管理。 AD将企业内网中的所有资源对象集中到控上,存储在AD数据库中,采用DNS规则命名,方便管理的同时提高安全性。 这一篇文章中,我们先给大家介绍下AD服务的应用环境——,在了解清楚的形成和结构之后,才能对AD服务的功能有更深入的
AD安全攻防实践(附攻防矩阵图)
03-11 3363
控为基础架构,通过控实现对用户和计算机资源的统一管理,带来便利的同时也成为了最受攻击者重点攻击的集权系统。01、攻击篇针对控的攻击技术,在Windows通用攻击技术的基础上自成一套技术体系,将AD攻防分为信息收集、权限提升、凭证窃取、横向移动、权限维持等攻击阶段,把环境下众多且繁杂的攻击行为映射到ATT&CK,梳理成一个AD攻防矩阵图。(1)内信息收集当攻击者获得内网某台...
AD安全登录
weixin_34167819的博客
04-27 245
微软Windows操作系统提供了整合的网络登录解决方案,登录Windows计算机时的身份验证机制覆盖了从简单的用户名和密码到全面的PKI智能卡验证的范围。eToken使得网络管理员对基于密码的登录和智能卡登录,都可以执行强大的双因素用户身份验证机制。 在微软Windows网络登录(GINA)机制中,缺省提供了使用智能卡中的数字证书登录环境的功能,所以配置和...
确保AD安全应对网络高级威胁攻击.pdf
12-03
AD是网络基础设施的核心单元 AD广泛被攻击的根本原因 AD安全面临的挑战 Active Directory安全遇到的问题 现代威胁生态系统 提供AD基础设施的实时攻击面可视化
Ssp_SSP_
10-03
ssp Sentinel System Driver Installer 7.5.9
SSP.rar_SSP_ssp s
09-24
SSP从机器实验!可以配置从机通信,朋友门可以参考一下...希望对大家有帮助!
SSP框架整合
12-31
SSP框架整合主要涉及到的是Java开发中的三个关键组件:Spring、SpringMVC和SpringData,它们共同构建了一个强大的Web应用程序开发框架。这个框架允许开发者高效地处理数据访问、业务逻辑和用户界面,大大提高了开发...
FMI、SSP、DCP简介
01-27
系统仿真技术的应用对象通常是多学科的复杂系统,在已建立各学科基础模型的基础上,构建“大”系统应用模型就必然涉及系统模型集成的问题。这可能面临以下难题,并衍生出更多对系统仿真技术在工程中应用的需求:模型...
SSP_SINAMICS_V4.7
11-03
3. **安全性升级**:随着网络安全威胁的增加,SSP_SINAMICS_V4.7可能包含了增强的安全措施,如加强数据加密、访问控制和防止未授权访问,以保护工业控制系统免受潜在攻击。 4. **诊断和故障排除**:SSP软件可能改进...
安全科普】AD安全协议(二)NTLM
ZAWX_NETSTARSEC的博客
09-27 1481
在Kerberos出现之前,NTLM被广泛应用于工作组和环境,是更早的用于对用户进行身份验证的协议。相比于Kerberos,NTLM的认证原理比较简单,主要通过对比客户端和服务端加密后的数据,判断其是否一致,以确定用户身份。如果用做菜来比喻,那么被加密的数据就是“原材料”,加密密钥就是“秘方”,原理就是“用不同的秘方做出...
Security-SPP 不断报错,task scheduler是什么服务?可以禁用吗?怎么禁用?
热门推荐
pengbin88888888的博客
03-18 2万+
Task Scheduler是Win7系统自带的计划任务功能,它能够帮助用户计划性的进行一些任务操作。首先Task Scheduler服务的作用是允许你在计算机上配置和制定自动任务的日程,也就是任务计划程序的服务!当然系统中还有很多程序需要使用到该服务的,你可以理解为这是win7系统中的定时器,如果没有定时器,定时炸药包会爆炸吗? task scheduler可以禁用吗? 通过上述的服务介绍想必大...
Windows认证基础知识
最新发布
hello
02-21 1013
管理员是在整个控中管理权限最高的,为了防止管理员的令牌被恶意窃取,必须禁止管理员异机登录。如果因一些特殊情况管理员登录了其他机器,应及时将令牌清除,以防止令牌被窃取。
内网渗透(七十四)之后渗透密码收集之注入SSP
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
05-15 506
由于我们可以编写自己的SSP,然后注册到操作系统中,让操作系统支持我们自定义的身份验证方法,因此如果攻击者获得了机器的最高权限,就可以编写一个恶意的SSP,然后将其注册到操作系统中。当用户登陆时,恶意的SSP就可以捕捉到用户输入的明文密码,也不会影响用户的正常登录。由于注入SSP需要服务器的最高权限,因此通常需要获得管理员权限才能在控上执行SSP注入。因此,该方法常被用作后渗透密码收集。
关于控制器的安全概述
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-30 6620
一、前言 在企业网络信息化建设中,经常会使用AD(Active Directory Domain)来统一管理网络中的PC终端。在AD中,DC(控制器)中包含了由这个的账户、密码、属于这个的计算机等信息构成的数据库。因此,攻击者在对AD进行攻击时,通常以获取DC的控制权限为目标。 攻击者如果利用漏洞或者社工等方法获取了外网系统的控制权限,找到了和内网联通的通道,再进一步进行深入渗透,便形成了纵向渗透的通道。然后,攻击者通过mimikazt等工具利用票据传递等攻击手段,实现控服务器的权限控制,从
SVN登录方式与AD整合
yangzibin的博客
11-17 2275
SVN登录方式与AD整合 前提:使用apache +svn 并且能正常运行 1.把附件的mod _auth_sspi.so放到apache的modules目录 下 2.在apache的conf 下的httpd.conf文件 中的LoadModule中添加下面一行   LoadModule sspi_auth_module modules/mod_auth_sspi.so 3.在http.c...
SSPI简介 windows专用GSSAPI
whatday的专栏
02-21 3362
安全支持提供者接口(英语:Security Support Provider Interface,缩写SSPI)是Microsoft Windows操作系统中用于执行各种安全相关操作(如身份验证)的一个Win32API。 SSPI的功能是作为众多安全支持提供程序(SSP)的通用接口[1]:安全支持提供者(Security Support Provider)是可以为应用程序提供一种或多种安全功能...
蓝牙简单安全配对(SSP)的四种模式
08-05
蓝牙简单安全配对(SSP)有四种模式: 1. Just Works(仅工作模式):这是最基本的配对模式。它不需要用户输入或确认,仅仅是通过蓝牙连接来进行配对。这种模式下的连接相对较不安全。 2. Passkey Entry(密码输入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Micr067

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值