RunAsPPL的对抗

最新推荐文章于 2024-08-24 07:06:08 发布
最新推荐文章于 2024-08-24 07:06:08 发布
阅读量1.1k 收藏 1
点赞数
文章标签: lsa
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gamma_lab/article/details/122509732
版权
本文详细介绍了RunAsPPL(LSA保护)的启用方法,包括注册表编辑和组策略,以及其作用:防止未经授权访问LSA进程。同时,文章讨论了几种RunAsPPL的绕过技术,如minikatz、自带驱动程序和PyPyKatz,这些方法主要涉及驱动签名和进程句柄操作,展示了安全与对抗的动态过程。
摘要由CSDN通过智能技术生成

启用LSA进程的保护

LSA 保护又名 RunAsPPL

这里直接引用官网的官方文档:https://docs.microsoft.com/en-us/windowsserver/security/credentials-protection-and-management/configuringadditional-lsa-protection#to-disable-lsa-protection

开启RunAsPPL 一般有两种方法

1.在单台计算机上启用 LSA 保护

  1. 打开注册表编辑器 (RegEdit.exe),然后导航到位于以下位置的注册表项:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa。

  2. 将注册表项的值设置为:“RunAsPPL”=dword:00000001。

  3. 重新启动计算机。

2.使用组策略启用 LSA 保护

  1. 打开组策略管理控制台 (GPMC)。

  2. 创建在域级别链接或链接到包含您的计算机帐户的组织单位的新 GPO。或者,您可以选择已部署的 GPO。

  3. 右键单击 GPO,然后单击编辑以打开组策略管理编辑器。

  4. 展开计算机配置,展开首选项,然后展开Windows 设置。

  5. 右键单击“注册表”,指向“新建”,然后单击“注册表项”。出现“新建注册表属性”对话框。

  6. 在Hive列表中,单击HKEY_LOCAL_MACHINE。

  7. 在Key Path列表中,浏览到SYSTEM\CurrentControlSet\Control\Lsa。

  8. 在值名称框中,键入RunAsPPL。

  9. 在值类型框中,单击REG_DWORD。

  10. 在数值数据框中,键入00000001。

  11. 单击“确定”。

然后重启

RunAsPPL的作用

开启了RunAsPPL,可以看到就算有debug权限,也无法对lsa进程进行操作

而在minikatz实现的代码上来看,通过调试,错误代码定位到这一段&

最低0.47元/天 解锁文章
Gamma_lab
关注
绕过PPL机制窃取凭证
摔不死的笨鸟的博客
11-14 221
使用LSA防护Mimikatz窃取密码攻击
「安全研究」从mimikatz学习万能密码——下
HBohan的博客
10-24 550
续上篇文章 我这里测了一下skeleton攻击并抓取了流量包,客户端发送的AS-REQ请求存在AES加密 但是域控的响应中却没有AES加密同时确实是报错STATUS_NOT_SUPPORTED 我们继续看下kdcsvc.dll的流程在域控通过kdcgetuserskey函数接收到用户的密码后不单单是会走 SamIRetrieveMultiplePrimaryCredentials函数同时会将密码传递给kerbhashpassword函数最终调用cryptdll.dll的导出函数CDLocateCSyst
WIN11本地安全机构保护未开启解决办法
duqika的博客
03-16 1万+
明明已经开启了内核隔离中的本地安全机构保护,但是仍然提示已关闭,并且重启也不起作用,需要修改注册表文件。RunAsPPLBoot数值修改为2(可能需要手动创建)RunAsPPL数值修改为2。
PPL攻击详解
hongduilanjun的博客
11-01 3979
PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并符合DRM(数字版权管理)要求。Microsoft开发了此机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是映像文件(即可执行文件)必须使用特殊的Windows Media证书进行数字签名(如Windows Internals的“受保护的过程”部分所述)。
推荐开源项目:PPLdump——突破LSA保护,深入Windows内核的用户级利器
最新发布
gitblog_00173的博客
08-24 552
推荐开源项目:PPLdump——突破LSA保护,深入Windows内核的用户级利器 PPLdumpDump the memory of a PPL with a userland exploit项目地址:https://gitcode.com/gh_mirrors/pp/PPLdump 在安全研究和系统管理领域,深入了解系统内部运作是至关重要的。今天,我们来探索一个专为高级技术人员准备的工具—...
Win11的两个实用技巧系列之内存不足导致永劫无间闪退解决方法、Win11本地安全机构保护误报修复方法
ai520wangzha的博客
04-24 3271
就可以设置虚拟内存了。
kail中的渗透测试工具
任浩的博客
01-23 893
1.AssassinGo 基于Go的高并发可拓展式Web渗透框架 AssassinGo是一个可扩展和并发的信息收集和漏洞扫描框架,该框架基于Vue的WebGUI,前后端交互主要采用WebSocket技术,会将结果实时显示在前台。集成了高可用信息收集、基础攻击向量探测、Google-Hacking综合搜索和PoC自定义添加并对目标进行批量检测等功能的自动化Web渗透框架。 2.burpa: burp 自动化扫描工具 burpa使用burpsuite 自动化扫描网站,并将扫描结果输出成报告。 3.websock
Pypykatz 使用教程
gitblog_01027的博客
08-10 518
Pypykatz 使用教程 pypykatzMimikatz implementation in pure Python项目地址:https://gitcode.com/gh_mirrors/py/pypykatz 项目介绍 Pypykatz 是一个用 Python 实现的 Mimikatz 工具,主要用于从 Windows 系统中提取密码、哈希和其他认证信息。它采用模块化设计,可以处理不同类型...
从mimikatz抓取密码学习攻防
hongduilanjun的博客
07-21 1882
前不久在使用mimikatz抓取hash的时候遇到了报错,本着追根溯源的原则去查看了mimikatz抓取密码的原理。在学习的过程中发现了mimikatz的每种报错都有不同的原因,本文就从mimikatz的防御角度出发来分析如何防御mimikatz抓取密码。...
【安全研究】从mimikatz学习万能密码
ZAWX_NETSTARSEC的博客
09-24 535
1.背景介绍2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻ji活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻ji者可以使用Skeleton Key密码作为任何...
Pypykatz 教程:安装与使用指南
gitblog_01187的博客
08-10 439
Pypykatz 教程:安装与使用指南 pypykatzMimikatz implementation in pure Python项目地址:https://gitcode.com/gh_mirrors/py/pypykatz 1. 项目目录结构及介绍 在克隆 skelsec/pypykatz 仓库后,你会看到以下主要的项目目录结构: pypykatz/ │ ├── docs/ #...
pypykatz:纯Python中的Mimikatz实现
04-12
pypykatz 纯Python中的Mimikatz实现。 至少一部分:) 在所有支持python> = 3.6的操作系统上运行 赞助商 维基 从版本0.1.1开始,命令行有所更改。 不用担心,我有一个很棒的。 正在安装 通过pip或从github克隆它来安装它。 安装程序将在python的Script目录中创建pypykatz可执行文件。 您可以从那里运行它,应该在您的PATH中。 小心,因为我要为新版本做适当的分支,所以github主版本可能会失败。 我将尝试创建一个稳定版本tho的分支。 通过PIP pip3 install pypykatz 通过Github 安装先决条件 pip3 install minidump minikerberos aiowinreg msldap winacl 克隆此仓库 git clone https://github.com/skelsec/p
Python-pypykatz是Mimikatz的纯Python实现
08-10
pypykatz:是Mimikatz的纯Python实现
探秘凭证获取新工具:Pypykatz Server——守护企业安全的智能之选
gitblog_00029的博客
06-21 926
探秘凭证获取新工具:Pypykatz Server——守护企业安全的智能之选 pypykatz_serverPypykatz server项目地址:https://gitcode.com/gh_mirrors/py/pypykatz_server 在数字世界的深处,安全始终是每个组织不可忽视的重要议题。今天,我们带来了一个革新性的开源工具——Pypykatz Server,它以服务器-代理模型为...
内网渗透神器(Mimikatz)——使用教程
热门推荐
W小哥
04-16 7万+
一、工具简介 Mimikatz是法国人benjamin开发的一款功能强大的轻量级调试工具,本意是用来个人测试,但由于其功能强大,能够直接读取WindowsXP-2012等操作系统的明文密码而闻名于渗透测试,可以说是渗透必备工具。 二、Mimikatz命令 cls: 清屏 standard: 标准模块,基本命令 crypto: 加密相关模块 sekurlsa: 与证书相关的模块 kerberos: kerberos模块 privilege: 提权相关模块 process: 进程相关
W ndows用户权限设置,防御Mimikatz攻击的方法介绍
weixin_39718888的博客
05-23 389
简单介绍 Mimikatz 攻击Mimikatz 在内网渗透测试中发挥着至关重要的作用,主要是因为它能够以明文形式从内存中提取明文密码。众所周知,攻击者在他们的渗透中大量使用 Mimikatz,尽管微软推出了安全补丁,但是在较旧的操作系统(如 Windows 2008 Server)中 Mimikatz 仍然有效,所以在很多情况下它可能导致横向移动和域权限提升。值得注意的是,如果 Mimikatz...
6月Python开源项目Top 10:如何快速找到抖音上的漂亮小姐姐……
CSDN人工智能头条
07-06 750
作者 | Mybridge编译 | 姗姗出品 | 人工智能头条(公众号ID:AI_Thinker)【人工智能头条导读】开源项目对大家的学习工作都非常有用,今天人工智能头条...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值