首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

如何使用Ketshash检测可疑特权NTLM连接

该工具可以基于下列信息来实现其功能: 1、受监控计算机上安全事件日志(登录事件); 2、活动目录身份验证事件;  工具要求  该工具使用要求用户账号拥有下列权限: 1、访问远程计算安全事件日志...; 2、活动目录读取权限(标准域账户); 3、计算同一间同步,否则会影响结果; 4、至少安装并配置好PowerShell 2.0;  工具下载  该工具是一个PowerShell脚本,因此我们只能在支持...Windows版本10和Server 2016上,应在事件查看器启用“Microsoft Windows LSA/操作”。...Windows 10和Server 2016上,启用“内核对象审计”将提供更准确信息,例如写入LSASS; LogFile:保存结果日志文件路径; MaxHoursOfLegitLogonPriorToNTLMEvent...但是我们可以Detect-PTHMultithreaded之前使用Invoke-Command调试: Invoke-Command -ScriptBlock $detectPTHScriptBlock

82150

【CS学习笔记】17、登录验证难点

0x00 前言 如果当前账号权限系统认为是本地管理员权限,那么就可以执行很多管理员才能做事,接下来就来看一下这样一个过程是如何工作,其中会涉及到以下要点: 1、Access Token 登录令牌...2、Credentials 凭证 3、Password Hashes 密码哈希 4、Kerberos Tickets 登录凭据 0x01 登录令牌 登录令牌登录之后创建 与每个进程和线程相关联 包括...: 用户和用户组信息 本地计算机上特权列表 限制(删除用户和用户组权限) 参考凭证(支持单点登录) 一直保存在内存,直到系统重启 以下是令牌窃取过程: 使用 ps 列出进程 使用 steal_token...,此时想查看 WIN-P2AASSD1AF1 主机下文件(WIN-P2AASSD1AF1 主机是 TEAMSSIX 域域控制器),那么直接运行 dir 会提示拒绝访问。...home, sent: 8 bytes 再次查看 uid 发现变成了原来 SYSTEM 权限,此时 WIN-P2AASSD1AF1 主机上文件也拒绝访问了。

98610
您找到你想要的搜索结果了吗?
是的
没有找到

Windows: 使用PowerShell管理Hyper-V虚拟机

虚拟机上运行命令。 你应该会看到作为 PowerShell 提示符前缀 VMName 显示如下: [VMName]: PS C:> 所有运行命令将会在虚拟机上进行。...使用 Invoke-Command 运行脚本或命令 配合使用 PowerShell Direct 和 Invoke-Command 非常适合需要在虚拟机上运行一个命令或一个脚本但在这一点之外无需继续与虚拟机进行交互情况...该脚本将在虚拟机上执行。命令一运行将会自动关闭连接。 8....使用 New-PSSession 和 Copy-Item 复制文件 注意: PowerShell Direct 仅支持 Windows 版本 14280 及更高版本持久性会话 在编写用于跨一个或多个远程计算机协调操作脚本...由于持久性会话具有持久性,会话创建或传递给会话任何变量将跨多个调用保留。有多种工具可用于持久性会话。

15910

内网渗透|利用 WinRM 进行横向渗透

将创建本地组 WinRMRemoteWMIUsers__,然后,WinRM 将远程访问设置为本地管理组和 WinRMRemoteWMIUsers__ 组用户。...请注意,TrustedHosts 列表计算机可能未经过身份验证。有关如何设置 TrustedHosts 详细信息,请运行以下命令: winrm help config。...calc 进程: image-20210804214037070 使用 Invoke-Command 命令 Invoke-Command 是 PowerShell 上一个命令,用来本地或远程计算机上执行命令...会话期间,您键入命令远程计算机上运行,就像您直接在远程计算机上键入一样。...请注意,TrustedHosts 列表计算机可能未经过身份验证。通过运行以下命令 可获得有关此内容更多信息: winrm help config。

4.8K40

渗透技巧 | Bypass Powershell执行策略N种方式

windows为powershell设计了一个名为Execution Policy,即执行策略东西来决定哪些类型PowerShell脚本可以系统运行。...•要求所有脚本和配置文件都由受信任发布者签名,包括本地计算机上编写脚本。...•需要可信发布者对从 Internet 下载脚本和配置文件(包括电子邮件和即时消息程序)进行数字签名。•不要求本地计算机上编写脚本(不是从 Internet 下载)具有数字签名。...Unrestricted •未签名脚本可以运行。存在运行恶意脚本风险。•在运行不是来自本地 Intranet 区域脚本和配置文件之前警告用户。...当直接运行脚本Restricted(限制)执行策略机器上,会出现“此系统禁止运行脚本错误。

3.5K20

ATT&CK视角下红蓝对抗:十八.横向移动之利用WinRM进行横向渗透

WS-Management协议是基于简单对象访问协议(SOAP)防火墙友好协议。Windows 2008以上版本操作系统,WinRM服务都是自动开启。WinRM默认管理端口为5985。...WinRS WinRS是Windows远程Shell,相当于WinRM客户端。使用WinRS可以访问运行有WinRM服务器,可以与目标主机形成交互式会话。...2.Invoke-Command Invoke-Command是一个 PowerShell命令,该命令可用于远程机器上运行脚本或其他命令,并且可以同时多台机器上运行命令。...Invoke-Command使用WinRM服务远程计算机上执行命令。要使用 Invoke-Command则必须在远程机器上具有适当权限,并且WinRM服务必须在远程计算机上运行。...接下来跳板机中使用Powershell运行Invoke-Command命令,输入Invoke-Command -ComputerName 192.168.1.3 -Credential administrator

40360

红队技巧-常规横向手法

前言 域内横向移动技术是红队作战域内最基本技术之一,红队人员会利用该技术,以攻陷系统为跳板,通过已经收集凭据和密码,来访问域内其他主机,扩大战果,最终目的是获取到dc访问控制权限。...,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以远程计算机器上启动一个进程;设定一个特WMI允许脚本语言(例如VBScript或Windows PowerShell)本地和远程管理...3、横行主机信任网络主机(Set-Item WSMan:localhost\client\trustedhosts -value *,或直接指定信任单个主机) 查看本地是否运行winRM服务 netstat...,它允许应用程序实例化和访问远程计算机上COM对象属性和方法,就像使用基于DCERPCDCOM协议本地计算机上对象一样,有关每个COM(和DCOM)对象标识,实现和配置信息存储注册表,并与一些重要标识符相关联...powershell我们可以使用 get-CimInstance来列出本地COM程序列表 远程DCOM对象实例表现如下: 客户端计算机从远程计算机请求实例化由CLSID表示对象。

2K20

SharpMapExec:针对网络渗透测试高级瑞士Knife

该工具目的是简化网络渗透测试任务操作,并提供一个多功能渗透测试平台,该工具目前仅支持Windows操作系统上运行,这也符合内部威胁模拟攻防常见要求。...数据过滤模块核心实现思想是远程计算机上执行最少必要代码,为了完成这个任务,该工具将把所有的敏感数据下载到loot目录并在本地解析它们。...如果指定了NTLM,相应工具将会创建一个线程并使用SharpKatz运行SetThreadToken(如果指定了NTLM散列)。...工具使用样例 该工具支持在内存执行大量C#程序: Kerberos密码喷射并扫描本地管理员访问: 该项目支持扫描JEA节点,将分析非默认命令源代码,并检查节点是否未配置为no-language模式...: 使用一个NT哈希扫描本地管理员密码复用: 大批量转储Lsass进程,并将其保存到loot文件夹: 某些使用Kerberos场景下,可能会要求用户同步DC时钟并设置DNS: net time \\

85420

CS学习笔记 | 16、用户枚举三个关键步骤

也可以运行其他命令,比如运行下面的at命令来查看系统上计划任务列表,如果显示出了任务列表信息,那么可能是本地管理员。...列出域管理员 对于发现域管理员账号,可以共享里使用本地Windows命令。运行以下两条命令可以用来找出这些“域群组”成员。...beacon net 模块可以系统上从一个没有特权关联查询本地组和用户。...Administrator TEAMSSIX\Daniel TEAMSSIX\Enterprise Admins TEAMSSIX\Domain Admins PowerView 模块 PowerView 使用下面的命令能够一个主机上找到本地管理员...文件大小 2 MB 多,因此直接运行powershell-import导入该文件会报错,这里可以选择使用 beacon upload 命令或者在当前会话 File Browser 图形界面中上传该文件

66440

如何在远程系统执行程序

条件: 启动Task Scheduler服务 2、psexec PsTools工具之一,指定一台或多台计算机上运行应用程序 条件: 需要开放ADMIN$共享 3、WMIC 功能强大,可做系统管理、远程主机信息获取...条件: 启动WMI服务,开放135端口 本地安全策略“网络访问: 本地账户共享和安全模式”应设为“经典-本地用户以自己身份验证” 4、wmiexec 使用VBS脚本调用WMI来模拟psexec功能...,基本上psexec能用地方,这个脚本也能够使用。...条件: 启动WMI服务,开放135端口 本地安全策略“网络访问: 本地账户共享和安全模式”应设为“经典-本地用户以自己身份验证” 5、powershell remoting 实现在目标主机远程执行程序后...终于GitHub上面找到了一个smbexecc++参考资料,作为工具改进模版 模版下载地址: https://github.com/sunorr/smbexec 总结 这篇文章共列举了六种远程执行程序方法

1.6K20

Ansible 客户端需求–设置Windows主机

指定较新版本将导致脚本失败。 注意  username和 password参数都存储注册表纯文本。确保脚本完成后运行清除命令,以确保主机上仍没有存储凭据。...HTTP 401 /凭据拒绝 HTTP 401错误表示身份验证过程初始连接期间失败。...要检查一些事情包括: 确保防火墙未设置为阻止配置WinRM侦听器端口 确保主机变量所设置端口和路径上启用了WinRM侦听器 确保该winrm服务正在Windows主机上运行并配置为自动启动 连接拒绝错误...这些通常表示尝试与主机上WinRM服务进行通信出现错误。...当将SSH密钥身份验证与Ansible结合使用时,远程会话将无权访问用户凭据,并且尝试访问网络资源将失败。这也称为双跳或凭据委派问题。

9.9K41

建议收藏 | CS学习笔记合集

之后,浏览器打开克隆站点地址,如果目标存在漏洞,就可以利用了,同时CS也会观察到主机上线。...当我们想在 Windows 命令行下指定一个本地用户,可以通过输入 .\本地用户名或者 计算机名\本地用户名来指定本地用户账户,其中.表示计算机名。...包括: 用户和用户组信息 本地计算机上特权列表 限制(删除用户和用户组权限) 参考凭证(支持单点登录) 一直保存在内存,直到系统重启 以下是令牌窃取过程: 使用 ps 列出进程 使用 steal_token...home, sent: 8 bytes 再次查看 uid 发现变成了原来 SYSTEM 权限,此时 WIN-P2AASSD1AF1 主机上文件也拒绝访问了。...演示 我本地搭建了这样一个环境。 ? 首先使 Win1 主机上线,接着 Linux1 主机上通过 SSH 连接到 Linux2 主机。

3.3K32

Active Directory获取域管理员权限攻击方法

捍卫者心中问题是“这是怎么发生?”。 攻击通常从向一个或多个用户发送鱼叉式网络钓鱼电子邮件开始,使攻击者能够让他们代码目标网络内计算机上运行。...您可能会认为,使用发布补丁程序阻止管理员将凭据放入组策略首选项,这将不再是问题,尽管执行客户安全评估我仍然 SYSVOL 中找到凭据。...减轻: 在用于管理 GPO 每台计算机上安装 KB2962486,以防止将新凭据放置组策略首选项。 删除 SYSVOL 包含密码现有 GPP xml 文件。...当服务使用显式凭据启动,凭据会加载到 LSASS ,以便服务在这些凭据上下文中运行。对此计算机具有管理员权限(或本地系统)的人可以从 LSASS 转储凭据,并可以重复使用这些凭据。...GPO 包括以下设置: 拒绝从网络访问计算机:本地帐户、企业管理员、域管理员 拒绝通过远程桌面服务登录:本地帐户、企业管理员、域管理员 拒绝本地登录:企业管理员、域管理员 注意:首先使用服务器配置进行测试

5.1K10

Microsoft 本地管理员密码解决方案 (LAPS)

您也不应该使用包含明文密码脚本来更改本地管理员密码,因为这些脚本往往放置易于访问位置,例如 SYSVOL(以利用组策略)。...使用“拒绝从网络访问计算机”和“拒绝通过远程桌面服务登录”设置组策略配置此 SID 可防止本地帐户通过网络连接(对于工作站,请在部署到服务器之前仔细测试)。...此外,与其他一些本地帐户密码管理解决方案一样,密码使用后不会自动更改。 可以环境配置扩展权限,这可能允许未经授权用户访问某些计算机上 LAPS 密码。...Microsoft 建议只有默认管理员本地帐户是本地管理员组成员,并且 LAPS 管理该帐户。 虚拟环境 LAPS: 不改变状态物理计算机上配置,LAPS 运行良好。...这一点, 由于 LAPS 没有(明显)选项来强制 LAPS 客户端启动更改密码,因此需要运行一个脚本来清除 ms-Mcs-AdmPwdExpirationTime 属性,以便在 LAPS 客户端运行

3.6K10

因Edge文件权限与IE发生冲突可导致XXE攻击

目前,虽然微软还未修复该漏洞,但发布了一个微密码,可拒绝远程攻击者泄漏本地文件以及限制机上活动。...安全功能之间冲突 MOTW是一项Windows系统自带安全功能,即IE在运行请求提升本地权限程序或脚本之前验证功能。 微软解释是:添加MOTW网页允许网页内容按照来自安全区域规则运行。...因此,由于脚本与活动内容权限相同,无法进行提权或访问本机资源行为。...Kolsek还发现,使用IE下载MHT文件所具有的权限与Edge检索权限不同,后者访问控制列表额外添加了两个条目: S-1-15-3-3624051433-2125758914-1423191267...Kolsek表示,Edge正在使用该功能进一步加强保存文件安全性,以防止低完整性沙箱中出现执行恶意代码行为。

55930

网站HTTP错误状态代码及其代表意思总汇

401.1 未经授权:访问由于凭据无效拒绝。 401.2 未经授权: 访问由于服务器配置倾向使用替代身份验证方法而拒绝。 401.3 未经授权:访问由于 ACL 对所请求资源设置拒绝。...401.7 未经授权:由于 Web 服务器上 URL 授权策略而拒绝访问。 403 禁止访问访问拒绝。 403.1 禁止访问:执行访问拒绝。 403.2 禁止访问:读取访问拒绝。...403.12 禁止访问:服务器证书映射器拒绝了客户端证书访问。 403.13 禁止访问:客户端证书已在 Web 服务器上吊销。 403.14 禁止访问 Web 服务器上拒绝目录列表。...404.1 文件或目录未找到:网站无法在所请求端口访问。 注意 404.1 错误只会出现在具有多个 IP 地址计算机上。...对此对象访问拒绝。 0179 应用程序初始化错误。初始化 Application 对象发生错误。 0180 禁止对象使用。Application 对象不能保存内部对象。

5.7K20

Windows事件ID大全

104 无法中断请求独占信号灯。 105 此信号灯前一个所有权结束。 107 由于没有插入另一个软盘,程序停止。 108 磁盘在使用,或另一个进程锁定。 109 管道结束。...Kerberos票证授予票证(TGT)拒绝,因为该设备不符合访问控制限制 4821 ----- Kerberos服务票证拒绝,因为用户,设备或两者都不符合访问控制限制 4822...存储IPsec策略本地缓存副本 5459 ----- PAStore引擎无法计算机上应用Active Directory存储IPsec策略本地缓存副本 5460 -----...PAStore引擎计算机上应用了本地注册表存储IPsec策略 5461 ----- PAStore引擎无法计算机上应用本地注册表存储IPsec策略 5462 ---...----- PAStore引擎计算机上加载了本地存储IPsec策略 5472 ----- PAStore引擎无法计算机上加载本地存储IPsec策略 5473 ----

17.5K62

Windows日志取证

4799 枚举启用安全性本地组成员身份 4800 工作站锁定 4801 工作站解锁 4802 屏幕保护程序调用 4803 屏幕保护程序解雇了 4816 RPC解密传入消息检测到完整性违规...4818 建议中央访问策略不授予与当前中央访问策略相同访问权限 4819 计算机上中央访问策略更改 4820 Kerberos票证授予票证(TGT)拒绝,因为该设备不符合访问控制限制 4821...引擎计算机上应用了Active Directory存储IPsec策略本地缓存副本 5459 PAStore引擎无法计算机上应用Active Directory存储IPsec策略本地缓存副本 5460...PAStore引擎计算机上应用了本地注册表存储IPsec策略 5461 PAStore引擎无法计算机上应用本地注册表存储IPsec策略 5462 PAStore引擎无法计算机上应用某些活动...引擎计算机上加载了本地存储IPsec策略 5472 PAStore引擎无法计算机上加载本地存储IPsec策略 5473 PAStore引擎计算机上加载了目录存储IPsec策略 5474 PAStore

2.6K11

Windows日志取证

4799 枚举启用安全性本地组成员身份 4800 工作站锁定 4801 工作站解锁 4802 屏幕保护程序调用 4803 屏幕保护程序解雇了 4816 RPC解密传入消息检测到完整性违规...4818 建议中央访问策略不授予与当前中央访问策略相同访问权限 4819 计算机上中央访问策略更改 4820 Kerberos票证授予票证(TGT)拒绝,因为该设备不符合访问控制限制 4821...引擎计算机上应用了Active Directory存储IPsec策略本地缓存副本 5459 PAStore引擎无法计算机上应用Active Directory存储IPsec策略本地缓存副本 5460...PAStore引擎计算机上应用了本地注册表存储IPsec策略 5461 PAStore引擎无法计算机上应用本地注册表存储IPsec策略 5462 PAStore引擎无法计算机上应用某些活动...引擎计算机上加载了本地存储IPsec策略 5472 PAStore引擎无法计算机上加载本地存储IPsec策略 5473 PAStore引擎计算机上加载了目录存储IPsec策略 5474 PAStore

3.5K40
领券