域滲透——Security Support Provider
0x00 前言
在之前的文章中介紹了一些域環境中的滲透方法和技巧,所以這次接著介紹一個用來維持域控許可權的方法——SSP.
0x01 簡介
SSP:
Security Support Provider,直譯為安全支援提供者,又名Security Package.
簡單的理解為SSP就是一個DLL,用來實現身份認證,例如:
#!bash
NTLM
Kerberos
Negotiate
Secure Channel (Schannel)
Digest
Credential (CredSSP)
SSPI:
Security Support Provider Interface,直譯為安全支援提供程式介面,是Windows系統在執行認證操作所使用的API。
簡單的理解為SSPI是SSP的API介面
LSA:
Local Security Authority,用於身份認證,常見程式為lsass.exe
特別的地方在於LSA是可擴充套件的,在系統啟動的時候SSP會被載入到程式lsass.exe中.
這相當於我們可以自定義一個dll,在系統啟動的時候被載入到程式lsass.exe!
此圖片來自於https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf
如圖,這是正常的SSPI結構圖,Client APP是我們自定義的dll,透過Secur32.dll可以呼叫 "credential capture API"來獲取LSA的資訊
此圖片來自於https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf
上圖展示了攻擊思路,既然可以自定義dll,那麼我們就可以定製dll的功能,透過Named Pipe和Shared Memory直接獲取lsass.exe中的明文密碼,並且能夠在其更改密碼時立即獲得新密碼!
0x02 mimilib SSP
mimikatz早已支援這個功能,而這個檔案就是我們使用的時候常常忽略的mimilib.dll
下面就實際測試一下如何透過mimilib偽造SSP記錄明文密碼.
mimikatz poc地址:
https://github.com/gentilkiwi/mimikatz/blob/bb371c2acba397b4006a6cddc0f9ce2b5958017b/mimilib/kssp.c
0x03 實際測試
測試環境
#!bash
域控:server 2008 r2 x64
域內主機: win7 x64
測試步驟:
1、新增SSP
將mimilib.dll複製到域控c:\windows\system32下
注:
64位系統要用64位的mimilib.dll,32位的會失敗
2、設定SSP
修改域控登錄檔位置:
#!bash
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Security Packages\
如圖 
在Security Packages下新增mimilib.dll
如圖 
點選確認,Security Packages已被新增mimilib.dll
如圖 
3、重啟系統
域控重啟後在c:\windows\system32可看到新生成的檔案kiwissp.log
如圖 
kiwissp.log記錄了登入賬戶和密碼,如圖 
Tips:
mimilib只實現了將密碼儲存到本地,如果把密碼傳送到遠端伺服器豈不是威力無窮?
0x04 補充
1、Memory Updating of SSPs
mimikatz同時還支援透過記憶體更新ssp,這樣就不需要重啟再獲取賬戶資訊
需要使用mimikatz.exe,命令如下:
#!bash
privilege::debug
misc::memssp
注:
1、64系統需要64位的mimikatz,如圖
32位mimikatz失敗 
64位mimikatz成功 
2、記憶體更新的方法在重啟後會失效.
0x05 檢測
1、登錄檔
檢測登錄檔位置:
#!bash
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Security Packages\
2、dll
檢測%windir%\System32是否有可疑dll
3、Autoruns
使用工具Autoruns檢測LSA
如圖,可以發現新增dll的位置 
0x06 小結
本文僅對SSP的常規用法做了演示,實現了在本地儲存域控的賬戶和密碼,而且基於這個思路,可以開發出更多高階的利用方法。
如果站在防禦的角度,常規方法已經力不從心,只有更多的瞭解攻擊才能更好的防禦。
0x07 參考資料
- https://en.wikipedia.org/wiki/Security_Support_Provider_Interface
- https://dl.mandiant.com/EE/library/MIRcon2014/MIRcon_2014_IR_Track_Analysis_of_Malicious_SSP.pdf
- https://msdn.microsoft.com/en-us/library/bb742535.aspx
- https://msdn.microsoft.com/en-us/library/windows/desktop/ms721625(v=vs.85).aspx#_security_security_support_provider_gly
- https://adsecurity.org/?p=1760
- https://technet.microsoft.com/en-us/library/dn408187.aspx
本文由三好學生原創並首發於烏雲drops,轉載請註明
相關文章
- 內網滲透-初探域滲透內網
- 域滲透——Skeleton Key
- 域滲透——Hook PasswordChangeNotifyHook
- 域滲透——Pass The Ticket
- 域滲透之利用WMI來橫向滲透
- 3、域滲透詳解
- 域內滲透基本技巧
- Android Content Provider SecurityAndroidIDE
- 域滲透——Local Administrator Password Solution
- 域滲透——Pass The Hash & Pass The Key
- 域滲透之ldap協議LDA協議
- 技術分享 | 域滲透AdminSDHolder
- 域滲透的金之鑰匙
- 安全技術 | 域滲透之SPN
- 7、域滲透——Pass The Hash的實現
- 2、超詳細的域滲透過程
- 9、Metasploit域滲透測試全程實錄
- 域滲透之初識Kerberos認證過程ROS
- 10、一篇經典的域滲透文章
- 1、域滲透基礎簡單資訊收集
- 14、域滲透神器Empire安裝和簡單使用
- 11、域滲透測試中使用到的命令+工具
- 域滲透之初識LM&NTLM認證過程
- 【CTF】msf和impacket聯合拿域控內網滲透-拿域控內網
- wifi滲透WiFi
- java.security.Provider 原始碼學習筆記JavaIDE原始碼筆記
- 6、域滲透中查詢域使用者對域成員機器關係
- 域滲透——Dump Clear-Text Password after KB2871997 installed
- 8、域滲透——獲得域控伺服器的NTDS.dit檔案伺服器
- metasploit滲透測試筆記(內網滲透篇)筆記內網
- 12、強大的內網域滲透提權分析工具——BloodHound內網
- 滲透測試會用到哪些工具?滲透測試教程
- 內網滲透應用 跨vlan滲透的一種思路內網
- Me-and-My-Girlfriend-1靶機滲透 (Vulnhub內網滲透)內網
- 15、基於psexec的域滲透測試工具—Smbexec v2.0
- 16、DeathStar:一鍵自動化域滲透工具(含演示視訊)
- 域滲透之ATT&CK實戰系列——紅隊實戰(一)
- 域滲透 | kerberos認證及過程中產生的攻擊ROS