绕过PPL机制窃取凭证

已于 2023-11-15 09:50:38 修改
阅读量170 收藏
点赞数
分类专栏: 渗透测试 Windows逆向 文章标签: LSA进程保护 PPL
于 2023-11-14 18:17:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43312649/article/details/134404926
版权

Mimikatz窃取凭证攻击

正常权限cmd情况下mimikatz是无法直接提权的,所以窃取密码更是不行的。
在这里插入图片描述
但管理员权限下的mimikatz是可以获取到主机登陆密码的。

PPL安全机制

在此之前,用户只需要使用SeDebugPrivilege令牌权限即可获取任意进程的所有访问权限;随后Windows8.1 在此进程保护的基础上,扩展引入了进程保护机制(Protected Process Light),简称PPL机制,其能提供更加细粒度化的进程访问权限控制。对于安全研究来说,PPL机制最直观的感受就是即便使用管理员权限也无法 attach这个进程进行调试。

PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;

PPL检查的关键逻辑在内核函数RtlTestProtectedAccess,其调用栈如下:
在这里插入图片描述

LSA进程保护

从Windows 8.1(和 Server 2012 R2)开始,Microsoft 引入了一项称为LSA保护的功能。此功能基于受保护进程轻量(PPL)技术,该技术是一种深度防御安全功能

了解本专栏 订阅专栏 解锁全文 超级会员免费看
摔不死的笨鸟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
订阅专栏
X64dbg正确使用姿势
摔不死的笨鸟的博客
11-25 1万+
X64DBG是目前来说64位windows操作系统最主流的调试器,这里简单介绍下一些需要注意的使用姿势。 1、取消系统断点。默认是系统断点,可以打开,选项-设置把系统断点勾掉,只断入口断点和TLS回调函数。 2、带参数调试进程。文件-改变命令行。 3、寄存器上右键高亮,可以高亮寄存器,阅读shellcode时比较容易分辨寄存器值变化。或者使用快捷键H键。 4、循环指令中设置条件记录断点的方法(脱解密壳或逆算法基本必用): 指令上首先F2下断点,然后在断点界面右键Edit,设置暂停条件。并记录寄存器情况
红队专题-内网横向-工作组Workgroup与 Domain Active Directory域渗透
最新发布
aming小老弟
12-21 1136
通过使用活动目录,管理员能够中心化、批量地更新和管理操作系统、应用、用户以及对数据的访问,而用户和管理员也能很容易地获取这些信息。而且因为活动目录具备中心化的管理能力,攻击者一旦获得域管理员权限,即可控制域内所有用户和主机,因此活动目录域环境也备受攻击者青睐。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困难一些。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。
红队常用命令速查
热门推荐
Hardworking666的博客
10-23 2万+
红队常用命令
main_ppl_concurrency_
09-30
5. **异常处理**:PPL提供了异常安全的机制,当在并行任务中抛出异常时,能够适当地清理资源,并将异常传播到调用者。 6. **并行算法**:除了上述的并行for循环,PPL还包含一系列并行版本的STL算法,如`transform`...
遇见PPL:C++的并行和异步
03-02
假设我们有一个数组,里面包含一组随机生成的浮点数,现在要计算每个浮点数对应的正弦值,如果你看过我的,你可能会想到用for_each函数,如代码1所示。为了可以把数组里的浮点数替换成对应的正弦值,我们需要把...
ppl
03-06
7. **动态库和插件**:为了扩展和定制,ppl可能需要支持动态加载模块,C++的动态链接库(DLL或SO)机制可以满足这一需求。 8. **编译时元编程**:C++的元编程能力可以用来在编译时生成代码,这对于优化概率模型的...
PPL计算1
08-03
**PPL计算详解** PPL(Perplexity)是自然语言处理中衡量语言模型性能的一个重要指标。它代表了模型预测一个序列的概率的几何平均数的倒数,数值越小,表示模型对数据的拟合程度越高。PPL计算的核心公式如下: \[ ...
一篇学会脱壳——06.exe脱壳
摔不死的笨鸟的博客
09-07 7078
加密壳脱壳
如何处理C#混淆
摔不死的笨鸟的博客
05-31 3831
C#混淆基本可以过所有静态特征检测,C#的软件经常被用来写加载器,勒索和窃密有很多是C#语言。 有些C#的混淆在基本信息上可以看到,当然这是一种比较低级的混淆方法,大多数作者会抹去这个信息字符串。 图片来自于深信服的分析报告: https://www.sangfor.com/blog/cybersecurity/new-threat-mallox-ransomware de4dot de4dot工具可以识别以下几种类型的混淆,并且可以还原一大部分符号信息。 Agile.NET (aka CliSecure
脱壳进阶篇——IAT修复与解密
摔不死的笨鸟的博客
12-09 2845
IAT修复 这种jmp明显有问题,下断点跟进去看一下。 复制IAT中的第一条和最后一条,指定范围去获取输入表,准确完美。 数据窗口跟随内存地址,这种77和76开头的典型就是API函数地址,使用长型地址指针即可观看系统API函数名字。 ...
Virut感染型病毒查杀工具
摔不死的笨鸟的博客
08-25 2675
职业病毒分析师的职责是为安全运营团队提供有力的后台支持,并能处置突发的大型感染病毒和勒索病毒。 下面是自己写的Virut一款感染型病毒的修复工具。该工具没有遍历文件,只是修复了C盘下被病毒感染后的一个文件:hypertrm.exe.V。有兴趣的可以研究交流。 // VirutRemoveTool.cpp : 定义控制台应用程序的入口点。 // #include "stdafx.h" #include <Windows.h> #define BYTELENGTH 1024 int Restor
Windows驱动的加载顺序
摔不死的笨鸟的博客
11-02 2214
开机内核初始化后,加载顺序前10榜没几个是看起来正常的驱动。是因为这些看起来.dll后缀的驱动比较底层,甚至虚拟机都没有办法模拟,所以比较特别。 Windows驱动分为Boot Start、System Start、AutoStart和Demand Start四种启动类型,分别代表驱动注册表中Start键值的0\1\2\3,驱动加载时优先加载Boot Start型驱动,按照0、1、2、3类驱动启动类型来加载驱动。优先加载的驱动优先获得到更早的权限,拿到主机的权限。 2017年出现的Rootkit狼人杀就把.
GDT、LDT和IDT
摔不死的笨鸟的博客
11-13 2078
三个重要的系统表GDT、LDT和IDT 首先说明的是,这三个表是在内存中由操作系统或系统程序员所建,并不是固化在哪里,所以从理论上是可以被读写的。 这三个表都是描述符表。描述符表是由若干个描述符组成,每个描述符占用8个字节的内存空间,每个描述符表内最多可以有(8K)8129个描述符。描述符是描述一个段的大小,地址及各种状态的。描述符表有三种,分别为全局描述符表GDT、局部描述符表LDT和中断描述符表IDT。 GDT表与IDT表 在整个系统中,全局描述符表GDT只有一张(一个处理器对应一个GDT),GDT
无文件攻击的种类
摔不死的笨鸟的博客
12-01 2001
在安全领域,无文件攻击意味着极其严重的威胁。“无文件”一词,是在探讨绕过恶意文件检测技术的方法时诞生的术语。“无文件攻击”只是一种攻击策略,其出发点就是避免将恶意文件放在磁盘上,以逃避传统安全软件的检测。 本知识领域牵涉到病毒逆向分析和渗透测试两大版块。 无文件攻击的种类 病毒名称 漏洞类型 CVE编号 漏洞位置 Office漏洞 CVE-2017-0199 内嵌OLE2LINK对象 Office漏洞 CVE-2017-11882(噩梦公式一代) 公式编辑器EQNEDT32.EXE
THREADINFOCLASS结构体与FILE_INFORMATION_CLASS结构体
摔不死的笨鸟的博客
10-10 1929
THREADINFOCLASS是一个枚举结构,其值旨在作为ZwQueryInformationThread和ZwSetInformationThread函数的输入。 查询或设置不同类型的信息选择不同的值。 自从Windows NT 3.51的设备驱动程序工具包(DDK)起,THREADINFOCLASS枚举的C语言定义已在NTDDK.H标头中公开可用。 它支持ZwSetInformationThr...
绕过BIOS/UEFI固件写保护写入SPI闪存
摔不死的笨鸟的博客
12-14 1886
针对Bootkit:LoJax或MosaicRegressor和TrickBot等开始进行固件感染方式的病毒逐渐增多而作笔记整理。 对主板上的SPI闪存芯片中存储的UEFI固件的所有请求都将通过SPI控制器,该控制器是Intel平台上的Platform Controller Hub(PCH)的一部分。可以通过PCI设备驱动访问PCI总线配置空间可以获取PCH的值。 绕过BIOS/UEFI固件写保护写入SPI闪存用I/O命令访问PCI总线配置空间BIOS控制寄存器BIOS_CNTL攻击者如何感染UEFI固件?
DLL死锁产生原因与调试方法
摔不死的笨鸟的博客
12-24 1544
产生死锁的四个必要条件: 互斥条件:一个资源每次只能被一个进程使用。 请求与保持条件:一个进程因请求资源而阻塞时,对已获得的资源保持不放。 不剥夺条件:进程已获得的资源,在末使用完之前,不能强行剥夺。 循环等待条件:若干进程之间形成一种头尾相接的循环等待资源关系。 这四个条件是死锁的必要条件,只要系统发生死锁,这些条件必然成立,而只要上述条件之一不满足,就不会发生死锁。 BOOL DisableThreadLibraryCalls( [in] HMODULE hLibModule ); DisableThr
python逆向还原dnspy反编译的C#算法
摔不死的笨鸟的博客
09-01 1447
算法逆向
pytorch ppl
09-19
PyTorch PPL(Perplexity,困惑度)是用于评估语言模型性能的指标。它是交叉熵损失的指数函数。在PyTorch中,可以使用`F.cross_entropy`函数来计算交叉熵损失,然后使用`torch.exp`函数对损失进行指数化得到PPL。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

摔不死的笨鸟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值