Windows明文密码抓取技术探究与实战指南<\/h1>

前言<\/h2>
自Windows Server 2012起，微软更改了安全策略，默认情况下无法直接抓取明文密码。本文将深入探讨两种绕过此限制的技术：SSP(安全支持提供程序)注入和PasswordChangeNotify钩子技术。<\/p>

基础知识<\/h2>

SSP与SSPI<\/h3>

SSP (Security Support Provider)<\/strong>：<\/p>

Windows操作系统安全机制的提供者<\/li>
实质上是DLL文件<\/li>
主要用于Windows身份认证功能，包括：

NTLM<\/li>
Kerberos<\/li>
Negotiate<\/li>
Secure Channel (Schannel)<\/li>
Digest<\/li>
Credential (CredSSP)<\/li> <\/ul> <\/li> <\/ul>
SSPI (Security Support Provider Interface)<\/strong>：<\/p>

Windows执行认证操作时使用的API接口<\/li>
本质上是SSP的API接口<\/li> <\/ul>
LSA (Local Security Authority)<\/h3>

包含lsass.exe和winlogon.exe进程<\/li>
负责运行Windows系统安全策略<\/li>
SSP在Windows启动后会被加载到lsass.exe进程中<\/li> <\/ul>
SSP注入技术<\/h2>
技术原理<\/h3>
SSP注入基于两种思路：<\/p>

删除任意SSP DLL以便与lsass进程交互<\/li>
伪造SSP DLL来提取用户登录时的明文密码<\/li> <\/ol>
实现方法<\/h3>
方法一：注册表修改<\/h4>

目标注册表项<\/strong>：<\/p>
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages <\/code><\/pre> <\/li> 实现代码<\/strong>（关键API）：<\/p> RegOpenKeyW<\/code><\/li> RegSetValueExW<\/code><\/li> <\/ul> <\/li> 示例代码<\/strong>：<\/p> <\/li> <\/ol> DWORD InjectSSP<\/span>(LPWSTR filepath) { <\/span><\/span> HKEY hKey; <\/span><\/span> LPCWSTR KeyName; <\/span><\/span> LPCWSTR ValueName; <\/span><\/span> DWORD dwDisposition; <\/span><\/span> <\/span><\/span> KeyName =<\/span> L<\/span>"SYSTEM<\/span>\\<\/span>CurrentControlSet<\/span>\\<\/span>Control<\/span>\\<\/span>Lsa"<\/span>; <\/span><\/span> if<\/span>(ERROR_SUCCESS !=<\/span> ::<\/span>RegOpenKeyW(HKEY_LOCAL_MACHINE, KeyName, &<\/span>hKey)) { <\/span><\/span> printf("[!] The key is not found,the registry entry creation operation is performed<\/span>\n\n<\/span>"<\/span>); <\/span><\/span> if<\/span>(ERROR_SUCCESS !=<\/span> ::<\/span>RegCreateKeyW(HKEY_LOCAL_MACHINE, KeyName, &<\/span>hKey)) { <\/span><\/span> printf("[!] Create regedit failed, error is:%d<\/span>\n\n<\/span>"<\/span>, GetLastError()); <\/span><\/span> return<\/span> FALSE; <\/span><\/span> } else<\/span> { <\/span><\/span> printf("[*] Create regedit successfully!<\/span>\n\n<\/span>"<\/span>); <\/span><\/span> } <\/span><\/span> } else<\/span> { <\/span><\/span> printf("[*] Find the key successfully!<\/span>\n\n<\/span>"<\/span>); <\/span><\/span> if<\/span>(ERROR_SUCCESS !=<\/span> ::<\/span>RegSetValueExW(hKey, L<\/span>"Security Packages"<\/span>, 0<\/span>, REG_MULTI_SZ, (BYTE*<\/span>)filepath, (::<\/span>lstrlenW(filepath)+::<\/span>lstrlenW(filepath)))) { <\/span><\/span> printf("[!] Create key-value failed, error is:%d<\/span>\n\n<\/span>"<\/span>, GetLastError()); <\/span><\/span> return<\/span> FALSE; <\/span><\/span> } else<\/span> { <\/span><\/span> printf("[*] Create key-value successfully!<\/span>\n\n<\/span>"<\/span>); <\/span><\/span> } <\/span><\/span> } <\/span><\/span>} <\/span><\/span><\/code><\/pre>实战步骤<\/h4> 将mimilib.dll放置到C:\Windows\System32<\/code>目录下<\/li> 修改注册表值为mimilib.dll<\/code><\/li> 用户重新登录后，会在C:\Windows\System32\kiwissp.log<\/code>中记录凭据<\/li> <\/ol> 注意<\/strong>：<\/p> 需要管理员权限<\/li> 重启后仍然有效<\/li> 清除时需要删除注册表项和DLL文件<\/li> <\/ul> 方法二：mimikatz内存注入<\/h4> 使用命令：<\/p> mimikatz # misc::memssp <\/code><\/pre> 特点<\/strong>：<\/p> 不需要修改注册表或放置DLL<\/li> 重启后失效<\/li> 记录文件路径：C:\Windows\System32\mimilsa.log<\/code><\/li> <\/ul> Hook PasswordChangeNotify技术<\/h2> 技术原理<\/h3> 密码修改流程：<\/p> 用户输入新密码<\/li> LSA调用PasswordFilter<\/code>检查密码复杂性<\/li> 如果符合要求，LSA调用PasswordChangeNotify<\/code>同步密码<\/li> 此过程中密码以明文形式传输<\/li> <\/ol> 关键点<\/strong>：<\/p> PasswordChangeNotify<\/code>函数存在于rassfm.dll<\/li> rassfm.dll是Remote Access Subauthentication DLL<\/li> 仅存在于Server系统（XP、Win7、Win8等不存在）<\/li> <\/ul> 实现方法<\/h3> 通过Inline Hook方式：<\/p> 使用jmp指令跳转到自定义处理函数<\/li> 读取密码参数<\/li> 还原到原地址继续传参<\/li> <\/ol> 关键代码分析<\/h4> 创建vector容器<\/strong>，修改硬编码指向PasswordChangeNotifyHook<\/code>函数<\/li> 保留寄存器值<\/strong>（rbx、rbp、rsi）<\/li> 写入字节码<\/strong>并还原被覆盖指令<\/li> 跳转回原函数<\/strong><\/li> 密码记录<\/strong>到C:\windows\temp\passwords.txt<\/code><\/li> <\/ol> 注入方法<\/h4> 由于普通注入方式无法注入系统进程，需使用Session 0注入：<\/p> 使用ZwCreateThread<\/code>内核函数<\/li> 将DLL注入lsass.exe进程<\/li> <\/ul> 反射加载方法（推荐）<\/h4> 使用PowerShell反射加载：<\/p> 更改执行策略： Set-ExecutionPolicy bypass <\/span><\/span><\/code><\/pre><\/li> 导入并执行脚本： Import-Module .\Invoke-ReflectivePEInjection.ps1 <\/span><\/span>Invoke-ReflectivePEInjection -PEPath HookPasswordChange.dll -procname lsass <\/span><\/span><\/code><\/pre><\/li> <\/ol> 效果<\/strong>：<\/p> 修改密码后可在C:\windows\temp\passwords.txt<\/code>中获取明文密码<\/li> <\/ul> 技术对比<\/h2> 方法<\/th> 持久性<\/th> 隐蔽性<\/th> 复杂度<\/th> 适用系统<\/th> <\/tr> <\/thead> SSP注册表修改<\/td> 高（重启有效）<\/td> 中（需修改注册表）<\/td> 中<\/td> 所有支持SSP的Windows<\/td> <\/tr> mimikatz内存注入<\/td> 低（重启失效）<\/td> 高<\/td> 低<\/td> 所有支持SSP的Windows<\/td> <\/tr> PasswordChangeNotify Hook<\/td> 中（需维持注入）<\/td> 高<\/td> 高<\/td> 仅Server系统<\/td> <\/tr> <\/tbody> <\/table> 防御措施<\/h2> 监控注册表修改<\/strong>：<\/p> 特别关注HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages<\/code><\/li> <\/ul> <\/li> 检测异常DLL<\/strong>：<\/p> 检查System32目录下可疑DLL<\/li> 监控lsass.exe加载的DLL<\/li> <\/ul> <\/li> 限制权限<\/strong>：<\/p> 严格控制本地管理员权限<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 监控密码修改事件<\/li> 检查异常进程注入行为<\/li> <\/ul> <\/li> 使用LSA保护<\/strong>：<\/p> 启用Credential Guard（Windows 10+和Server 2016+）<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 本文详细分析了两种Windows明文密码抓取技术：SSP注入和PasswordChangeNotify钩子。SSP注入技术通过修改注册表或内存注入实现，而PasswordChangeNotify钩子则利用密码修改过程中的明文传输特性。防御方应重点关注相关注册表项、系统目录和进程注入行为，以有效防范此类攻击。<\/p>

方法<\/th>	持久性<\/th>	隐蔽性<\/th>	复杂度<\/th>	适用系统<\/th> <\/tr> <\/thead>
SSP注册表修改<\/td>	高（重启有效）<\/td>	中（需修改注册表）<\/td>	中<\/td>	所有支持SSP的Windows<\/td> <\/tr>
mimikatz内存注入<\/td>	低（重启失效）<\/td>	高<\/td>	低<\/td>	所有支持SSP的Windows<\/td> <\/tr>
PasswordChangeNotify Hook<\/td>	中（需维持注入）<\/td>	高<\/td>	高<\/td>	仅Server系统<\/td> <\/tr> <\/tbody> <\/table> 防御措施<\/h2> 监控注册表修改<\/strong>：<\/p> 特别关注`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages<\/code><\/li> <\/ul> <\/li>` 检测异常DLL<\/strong>：<\/p> 检查System32目录下可疑DLL<\/li> 监控lsass.exe加载的DLL<\/li> <\/ul> <\/li> 限制权限<\/strong>：<\/p> 严格控制本地管理员权限<\/li> 实施最小权限原则<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 监控密码修改事件<\/li> 检查异常进程注入行为<\/li> <\/ul> <\/li> 使用LSA保护<\/strong>：<\/p> 启用Credential Guard（Windows 10+和Server 2016+）<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> 本文详细分析了两种Windows明文密码抓取技术：SSP注入和PasswordChangeNotify钩子。SSP注入技术通过修改注册表或内存注入实现，而PasswordChangeNotify钩子则利用密码修改过程中的明文传输特性。防御方应重点关注相关注册表项、系统目录和进程注入行为，以有效防范此类攻击。<\/p>

Windows明文密码抓取技术探究与实战指南<\/h1>

前言<\/h2> 自Windows Server 2012起，微软更改了安全策略，默认情况下无法直接抓取明文密码。本文将深入探讨两种绕过此限制的技术：SSP(安全支持提供程序)注入和PasswordChangeNotify钩子技术。<\/p>

基础知识<\/h2>

SSP注入技术<\/h2>

实现方法<\/h3>

Hook PasswordChangeNotify技术<\/h2>

前言<\/h2>
自Windows Server 2012起，微软更改了安全策略，默认情况下无法直接抓取明文密码。本文将深入探讨两种绕过此限制的技术：SSP(安全支持提供程序)注入和PasswordChangeNotify钩子技术。<\/p>