Mimikatz深入探索：SSP技术分析与实现<\/h1>

前言<\/h2>
本文是Mimikatz探索系列的第二部分，重点分析Mimikatz中与SSP(Security Support Provider)相关的技术实现。SSP是Windows身份验证架构中的关键组件，Mimikatz利用SSP接口实现了多种凭据提取技术。<\/p>

SSP基础概念<\/h2>

SSP（安全支持提供程序）是一个DLL，在身份验证和授权事件过程中提供回调函数接口。Wdigest等系统组件就是通过SSP接口缓存凭据的。<\/p>

Mimikatz提供了两种主要的SSP利用技术：<\/p>

Mimilib - 实现SSP接口的DLL<\/li>

smemssp - 通过内存patch实现的SSP功能<\/li> <\/ol>

Mimilib技术分析<\/h2>

核心实现<\/h3>

Mimilib的SSP功能入口点在kssp.c<\/code>文件中的kssp_SpLsaModeInitialize<\/code>函数，通过mimilib.def<\/code>导出为SpLsaModeInitialize<\/code>。<\/p>

注册的关键回调函数：<\/p>


SpInitialize<\/code> - 初始化SSP<\/li>
SpShutDown<\/code> - 卸载SSP<\/li>
SpGetInfoFn<\/code> - 提供SSP信息<\/li>
SpAcceptCredentials<\/code> - 接收明文凭据<\/li>
<\/ul>
凭据窃取机制<\/h3>
kssp_SpAcceptCredentials<\/code>函数实现凭据窃取：<\/p>
NTSTATUS NTAPI kssp_SpAcceptCredentials<\/span>(SECURITY_LOGON_TYPE LogonType, 
<\/span><\/span>                                      PUNICODE_STRING AccountName, 
<\/span><\/span>                                      PSECPKG_PRIMARY_CRED PrimaryCredentials, 
<\/span><\/span>                                      PSECPKG_SUPPLEMENTAL_CRED SupplementalCredentials)
<\/span><\/span>{
<\/span><\/span>    FILE *<\/span>kssp_logfile;
<\/span><\/span>    if<\/span>(kssp_logfile =<\/span> _wfopen(L<\/span>"kiwissp.log"<\/span>, L<\/span>"a"<\/span>)) {   
<\/span><\/span>        klog(kssp_logfile, L<\/span>"[%08x:%08x] [%08x] %wZ<\/span>\\<\/span>%wZ (%wZ)<\/span>\t<\/span>"<\/span>, 
<\/span><\/span>             PrimaryCredentials-><\/span>LogonId.HighPart, 
<\/span><\/span>             PrimaryCredentials-><\/span>LogonId.LowPart, 
<\/span><\/span>             LogonType, 
<\/span><\/span>             &<\/span>PrimaryCredentials-><\/span>DomainName, 
<\/span><\/span>             &<\/span>PrimaryCredentials-><\/span>DownlevelName, 
<\/span><\/span>             AccountName);
<\/span><\/span>        klog_password(kssp_logfile, &<\/span>PrimaryCredentials-><\/span>Password);
<\/span><\/span>        klog(kssp_logfile, L<\/span>"<\/span>\n<\/span>"<\/span>);
<\/span><\/span>        fclose(kssp_logfile);
<\/span><\/span>    }
<\/span><\/span>    return<\/span> STATUS_SUCCESS;
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>加载方式<\/h3>

传统方法：修改注册表并重启系统<\/li>
动态方法：使用AddSecurityPackage<\/code> API<\/li>
<\/ol>
检测与规避<\/h3>
Mimilib可以通过EnumerateSecurityPackages<\/code>函数枚举发现：<\/p>
EnumerateSecurityPackagesA(&<\/span>packageCount, &<\/span>packages)
<\/span><\/span><\/code><\/pre>返回的信息中包含SSP名称和描述，默认值为：<\/p>

Name: "KiwiSSP"<\/li>
Comment: "Kiwi Security Support Provider"<\/li>
<\/ul>
可以通过修改kssp_SpGetInfo<\/code>函数中的硬编码值来规避检测。<\/p>
MemSSP技术分析<\/h2>
实现原理<\/h3>
MemSSP通过直接patch lsass进程内存实现，hook msv1_0.dll<\/code>中的SpAcceptCredentials<\/code>函数。<\/p>
关键步骤<\/h3>

打开lsass进程：<\/li>
<\/ol>
OpenProcess(PROCESS_VM_READ |<\/span> PROCESS_VM_WRITE |<\/span> PROCESS_VM_OPERATION |<\/span> PROCESS_QUERY_INFORMATION)
<\/span><\/span><\/code><\/pre>

定位msv1_0.dll<\/code>模块<\/p>
<\/li>

搜索并patch目标函数<\/p>
<\/li>
<\/ol>
Hook工作流程<\/h3>

创建存根函数生成日志文件<\/li>
将凭据写入日志文件<\/li>
返回到原始函数<\/li>
<\/ol>
风险分析<\/h3>
主要风险点在于使用WriteProcessMemory<\/code> API，可能被安全产品检测。<\/p>
高级技术：无WriteProcessMemory的MemSSP<\/h2>
RPC调用分析<\/h3>
AddSecurityPackage<\/code>实际通过RPC与lsass通信：<\/p>

接口UUID: 4f32adc8-6052-4a04-8701-293ccf2096f0<\/code><\/li>
函数编号: 3 (对应SspirCallRpc<\/code>)<\/li>
<\/ul>
服务器端处理流程<\/h3>

sspisrv.dll<\/code>处理RPC调用<\/li>
通过gLsapSspiExtension<\/code>分发到LsapSspiExtensionFunctions<\/code><\/li>
LpcHandler<\/code>进一步处理参数<\/li>
DispatchApi<\/code>通过LpcDispatchTable<\/code>分发调用<\/li>
WLsaAddPackage<\/code>执行权限检查<\/li>
SpmpLoadDll<\/code>加载SSP DLL<\/li>
<\/ol>
实现优化<\/h3>

通过RPC直接加载DLL，避免直接调用AddSecurityPackage<\/code><\/li>
在DLL的DllMain<\/code>中返回FALSE，使DLL加载后立即卸载，避免注册表修改<\/li>
支持UNC路径加载远程DLL<\/li>
<\/ol>
防御建议<\/h2>

监控lsass进程中的异常DLL加载<\/li>
检测WriteProcessMemory<\/code>对lsass的调用<\/li>
定期检查已注册的SSP列表<\/li>
监控AddSecurityPackage<\/code> API调用<\/li>
检查lsass内存中的异常hook<\/li>
<\/ol>
总结<\/h2>
Mimikatz的SSP技术提供了多种凭据提取方法，从传统的DLL加载到高级的内存patch技术。理解这些技术的实现原理有助于开发定制化的攻击payload，同时也为防御方提供了检测思路。通过结合RPC调用和内存patch技术，可以实现更隐蔽的凭据窃取方法。<\/p>

Mimikatz深入探索：SSP技术分析与实现<\/h1>

前言<\/h2>
本文是Mimikatz探索系列的第二部分，重点分析Mimikatz中与SSP(Security Support Provider)相关的技术实现。SSP是Windows身份验证架构中的关键组件，Mimikatz利用SSP接口实现了多种凭据提取技术。<\/p>

Mimilib技术分析<\/h2>

实现原理<\/h3>
MemSSP通过直接patch lsass进程内存实现，hook `msv1_0.dll<\/code>中的SpAcceptCredentials<\/code>函数。<\/p>`

风险分析<\/h3>
主要风险点在于使用`WriteProcessMemory<\/code> API，可能被安全产品检测。<\/p>`

Mimikatz深入探索：SSP技术分析与实现<\/h1>

前言<\/h2> 本文是Mimikatz探索系列的第二部分，重点分析Mimikatz中与SSP(Security Support Provider)相关的技术实现。SSP是Windows身份验证架构中的关键组件，Mimikatz利用SSP接口实现了多种凭据提取技术。<\/p>

Mimilib技术分析<\/h2>

实现原理<\/h3> MemSSP通过直接patch lsass进程内存实现，hook msv1_0.dll<\/code>中的SpAcceptCredentials<\/code>函数。<\/p>

风险分析<\/h3> 主要风险点在于使用WriteProcessMemory<\/code> API，可能被安全产品检测。<\/p>

前言<\/h2>
本文是Mimikatz探索系列的第二部分，重点分析Mimikatz中与SSP(Security Support Provider)相关的技术实现。SSP是Windows身份验证架构中的关键组件，Mimikatz利用SSP接口实现了多种凭据提取技术。<\/p>

实现原理<\/h3>
MemSSP通过直接patch lsass进程内存实现，hook `msv1_0.dll<\/code>中的SpAcceptCredentials<\/code>函数。<\/p>`

风险分析<\/h3>
主要风险点在于使用`WriteProcessMemory<\/code> API，可能被安全产品检测。<\/p>`