Windows系统安全风险-本地NTLM重放提权

最新推荐文章于 2024-07-02 10:30:00 发布
最新推荐文章于 2024-07-02 10:30:00 发布
阅读量1.9k 收藏 1
点赞数
文章标签: mysql 数据库 database
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwestcn/article/details/121496902
版权

经我司安全部门研究分析,近期利用NTLM重放机制入侵Windows 系统事件增多,入侵者主要通过Potato程序攻击拥有SYSTEM权限的端口伪造网络身份认证过程,利用NTLM重放机制骗取SYSTEM身份令牌,最终取得系统权限,该安全风险微软并不认为存在漏洞,所以不会进行修复,为了您的服务器安全,我们建议您进行一下安全调整:

1、关闭DCOM功能
下面列出关闭DCOM步骤win2008/2012/2016/2019均适用

打开 控制面板->管理工具->组件服务

展开 组件服务-计算机 ,右击 我的电脑  选择 属性

image.png


点击 默认属性选项卡,取消勾选 “在此计算机上启用分布式COM”的,再确定即可

image.png

建议使用windows的都关闭此项以减小被入侵风险。
您也可以直接在命令行执行 reg add HKLM\SOFTWARE\Microsoft\Ole /v EnableDCOM /t REG_SZ /d N /f 进行关闭。

2、如果在使用iis,建议删除IIS中的IIS6管理兼容
服务器管理-管理-删除角色和功能
 

image.png

取消iis6管理兼容的所有勾选

image.png

提权案例: 记一次HW实战笔记 | 艰难的提权爬坑     请务必重视做好安全设置

原文链接: Windows系统安全风险-本地NTLM重放提权 -西部数码帮助中心

wwwwestcn
关注
【网络安全】单选/多选/判断/填空题
m0_47617892的博客
12-26 1万+
【网络安全】单选/多选/判断/填空 期末复习·题 一、选择题(每小题 2分,共30分) 1.计算机网络的安全是指( C ) A.网络中设备设置环境的安全 B.网络使用者的安全 C.网络中信息的安全 D.网络的财产安全 2.信息风险主要是指( D ) A.信息存储安全 B.信息传输安全 C.信息访问安全 D.以上都正确 3.以下( D )不是保证网络安全的要素。 A.信息的保密性 B.发送信息的不可否认性 C.数据交换的完整性 D.数据存储的唯一性 4. ( D)不是信息失真的原因。 A.信源提供的信息不完全
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
Windows安全认证机制——NTLM本地认证
最新发布
lurenjia404的博客
07-02 864
Windows安全认证机制之NTLM本地认证
(Net-)NTLM Relay(重放
Canterlot的博客
09-06 686
详细介绍了 NTLM Relay(ntlm重放)的原理和相关工具的使用方法
【内网安全】横向移动&NTLM-Relay重放&Responder中继攻击&Ldap&Ews
今天是几号的博客
04-02 1240
攻击者伪造一个恶意的SMB服务器,当内网中有机器Client1(webserver)访问这个攻击者精心构造好的SMB服务器时, smbrelayx.py 脚本将抓到 Client1 的 Net-NTLM Hash ,然后 smbrelayx.py 用抓取到的 Client1 的 Net-NTLM Hash 重放给 Client2(sqlserver)。Exchange,LLMNR投毒,
另一种取消NTLM验证的方法
蓝色的雨
09-11 2083
我在自己机器(XP SP2)下测试成功,听说WIN2000不行,在某些机器上也很多问题。不管怎么说,还是先放起来先。直接运行命令: tlntadmn config sec = -ntlm
去掉ntml验证的另一种方法
12-22 1042
文章作者:紫幻[EST顾问团成员]信息来源:邪恶八进制 中国相信大家都对telnet比较熟悉吧。hacking的时候经常用到的系统自带shell尤其是注射的时候,但是最讨厌的就是ntlm认证了,以前大家去掉ntlm的方法一般有2种。1 上传ntml.exe 这种方法有很多缺点,比如:对方有杀毒软件,很多网段屏蔽了TFTP.2 直接写入telnet的配置信息到文本中然后在用shell执行。 这种办法
NtLmSsp 登录爆破防御办法踩的坑-网络安全:LAN管理器身份验证级别设置还原
studyingjay的博客
05-18 4323
windows系统日志看到很多相同NtlmSsp报错 于是在找了一些解决方法,按照下面这张图设置踩了一些坑 按照图上设置2008系统没问题,2019系统远程桌面就怎么设置都连不上了。 暂时正确的解决办法: 1、实际操作折腾一番返现上面那个LAN可以不用设置; 2.、下面选择“拒绝所有域账户”就行了,如果选择拒绝所以账户,远程桌面怎么样都报函数错误。有没其他方法设置暂时不知道,暂时选择域账户就可以了。 3、如果已经设置了那个“网络安全:LAN管理器身份验证级别”想还原的,可以修改注册表: 1. 运行 r
网络安全等级保护测评——主机安全(三级)详解
zz12345600354的博客
05-05 1189
最近去了项目组打杂,偷学了些对服务器做整改的等保要求,写下一篇废话,看完了就可以跟我一起打杂了。
抓管理员密码神器--mimikatz
08-01
**mimikatz工具详解** mimikatz是一款由法国安全研究员Benjamin Delpy开发的强大工具,被誉为“抓管理员密码神器”。...mimikatz以其简单易用和广泛的适用性,在网络...同时,应加强系统的安全防护措施,减少潜在风险
绕过NTLM认证方式的另一种方法.doc
05-16
绕过NTLM认证方式的另一种方法.doc 绕过NTLM认证方式的另一种方法.doc
红队专题-Perm权限提升与维持隐匿Privilege Escalation
aming小老弟
10-27 929
高权限不仅能对更多文件进行增删改查的操作,方便进一步收集主机系统中的敏感信息, system权限也可以提取内存中的密码Hash,为进一步的渗透提供更多信息。权限提升是从初始访问权限(通常是标准用户或应用程序帐户)一直提升到administrator, root甚至SYSTEM访问权限的艺术。常见技术或攻击手段来获得高权限帐户访问权限。用于检测和利用不同权限提升技术的手动方法,但会提到可以完成相同工作并节省您一些时间的自动化工具。 完美,它指向我们的有效负载。 使用net(也是默认安装的)启动此服务以获得
关闭DCOM服务
清流弯弯
10-03 4345
<br />关闭DCOM服务<br /><br /><br /> 这就是135端口了,除了被用做查询服务外,它还可能引起直接的攻击,关闭方法是:在运行里输入dcomcnfg,在弹出的组件服务窗口里选择默认属性标签,取消“在此计算机上启用分布式COM”即可。 <br /><br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <br /> <b
[内网渗透]—NTLM网络认证NTLM-Relay攻击
Sentiment的博客
12-16 1733
Windows认证分为本地认证和网络认证,当我们开机登录用户账户时,就需要将lsass.exe进程转换的明文密码hash与 sam文件进行比对,这种方式即为——本地认证而当我们访问同一局域网的一台主机上的SMB共享时,需要提供凭证通过验证才能访问,这个过程就会设计windows的网络认证
【学习笔记】内网安全4-NTLM认证禁用对策
Lazy_SugaR的博客
05-29 933
概念 PTH(pass the hash) 利用lm或ntlm的值进行渗透测试 PTT(pass the ticket) 利用的票据凭证TGT进行的渗透测试 PTK(pas the key) 利用ekeys、aes256进行的渗透测试 分析 #PTH在内网渗透中是一种经典的攻击方式,原理就是攻击者可以直接通过LM Hash和NTLM Hash访问远程主机或服务,而不是提供明文面 #PTK:如果禁用了NTLM认证,PsExec无法利用获得的NTLM Hash进行远程连接,但是使用mimikatz还是
HOW TO:配置 IIS 以支持 Kerberos 和 NTLM 身份验证
weixin_33997389的博客
07-15 367
要确保 IIS 对 Kerberos 和 NTLM 身份验证都支持,请确认在“NTAuthenticationProviders”元数据库项中设置了 Negotiate 标题: 单击“开始”,单击“运行”,键入 cmd,然后按 Enter 键。找到包含 Adsutil.vbs 文件的目录。默认情况下,该目录是 C:\Inetpub\Adminscripts。使用下面的命...
ntml登录服务器未响应,telnet登陆不能通过NTLM身份验证的解决办法
weixin_36357218的博客
08-09 1512
一、问题我用TELNET连上某IP机器,在输入账号和密码前却显示:Telnet server could not log you in using NTLMauthentication.Your password may have expired.Login using username and passwordWelcome to Microsoft Telnet Servicelogin:这时...
了解一下NTLM
rital的专栏
06-09 1280
NTLM 在客户机与服务器之间提供身份认证的安全包。NTLM   身份验证协议 是 质询/应答身份验证协议,是Windows   NT   4.0   及其早期版本中用于网络身份验证的默认协议。Windows   2000   中仍然支持该协议,但它不再是默认的。    NTLM身份验证过程:ntlm 是用于 Windows NT 和 Windows 2000 Server 工作组
NTLM身份认证
Louisnie
09-11 1万+
NTLM身份认证是微软针对容易破解的Lan Manager Challenge/Response(LM)验证机制,提出的WindowsNT挑战相关验证机制,更新的有:NTLM v2和Kerberos验证体系.在服务器端如果不使用Message Queuing 或是Telnet Server,一般NTLM是被关闭的,一般用户也用不上,但对于入侵者来说,NTLM是一座大山,telnet是一种命令行方式...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wwwwestcn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值