首先说一下SSP,安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码,或者直接用恶意的SSP对该进程进行修补而无需接触磁盘。
该技术需要管理员权限,可用于收集系统的凭证,这里用mimikatz介绍两种,一种是 注册SSP DLL ,二种是 加载到内存
注册SSP DLL
Mimikatz压缩包中提供了 mimilib.dll DLL文件,放在lsass.exe同级目录下
1)将mimilib.dll复制到c:\windows\system32下
2)修改注册表
位置HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\
Security Packages的值设置为mimilib.dll
3)等待系统重新启动
系统重新启动后,在c:\windows\system32生成文件kiwissp.log,记录当前用户的明文口令
加载到内存
当用户再次通过系统进行身份验证时,将在System32中创建一个日志文件,其中将包含纯文本用户密码,此操作不需要重启目标机子,只需要锁屏对方再登陆时即可记录下明文密码。但是,缺点是