1 基本概念 1.1windows服务简介 创建在它们自己的 Windows 会话中可长时间运行的可执行应用程序。 这些服务可以在计算机启动时自动启动,可以暂停和重新启动而且不显示任何用户界面。...LocalSystem 一个帐户,使用服务控制管理器,该本地计算机上拥有许多特权并作为网络上的计算机。 NetworkService 提供多种本地特权,并提供给所有远程服务器的计算机的凭据的帐户。...DelayedAutoStart:该值指示服务是否应推迟之前运行其他自动启动的服务无法启动。true 对延迟自动启动服务;否则为 false。 默认值为 false。...如果一个自动启动的服务依赖于手动启动的服务,则该手动启动的服务也会在系统启动时自动启动。 Disabled 指示服务已禁用,因此无法由用户或应用程序启用。...在代码中,需要暂停的位置调用FlowController.Pause,当点击“暂停的时候”,发出暂停命令,程序运行到FlowController.Pause方法时便停在此处。
当前运行的启动状态表明系统不是在故障安全模式下启动的。我们还可以看到当前的用户是 pew 并且不是任何 AD 域的一部分。我们还获得了可供使用的处理器架构和 RAM。...当涉及到权限提升时,这是很有用的信息,尤其是在 SYSTEM 创建的服务具有较低的文件权限的情况下。 要列出服务,需要使用 Win32_Service 类。...对于下面这个示例,将仅打印由 LocalSystem (或 NT Authority\System) 启动的服务。...它们允许创建、删除、启动、停止、恢复、更新和许多其他操作服务的功能。...这将包括本地域、当前域、受信任域和受信任群: 13 系统机密 当涉及到侦察时,系统机密再次成为枚举的有用信息。如果在系统上有足够的权限,那么就可以创建磁盘的卷影副本并尝试从那里提取机密。
近日,Microsoft SQL (MS-SQL) 服务器遭到攻击,因其安全性较差,入侵者进入服务器后直接安装了 Trigona 勒索软件,并加密了所有文件。...入侵者是利用了那些极易被猜到的帐户凭据为突破点,暴力攻击了MS-SQL 服务器,并安装了名为CLR Shell的恶意软件,这次攻击是被韩国网络安全公司AhnLab的安全研究人员发现的。...这种恶意软件专门用于收集系统信息,还可以直接更改那些被入侵的帐户配置。此外,该软件还可以利用Windows辅助登录服务中的漏洞将特权升级到LocalSystem,不过想完成这个操作需要启动勒索软件。...然后入侵者会在下一阶段安装一个恶意软件dropper,用作svcservice.exe服务,继而就能启动Trigona勒索软件,作为svchost.exe。此外,他们还会配置勒索软件二进制文件。...在每次系统重新启动时,通过Windows自动运行密钥自动启动,以确保系统在重新启动后仍处于被加密的状态。
如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法,则这些服务可能导致权限提升。创建一个新的服务需要管理员级别的特权,它已经不是隐蔽的持久性技术。...命令行实现 如果帐户具有本地管理员特权,则可以从命令提示符创建服务。参数“ binpath ”用于执行任意有效负载,而参数“ auto ”用于确保恶意服务将自动启动。...在两种情况下,启动服务时都会打开Meterpreter会话。 ? SharPersist SharPersist支持在受感染系统中创建新服务的持久性技术。...在系统上安装新服务需要提升的访问权限(本地管理员)。以下命令可用于添加新服务,该服务将在Windows启动期间作为本地系统执行任意有效负载。...PoshC2 PoshC2还具有创建新服务作为持久性技术的能力。但是,将执行base-64 PowerShell负载,而不是任意可执行文件。从植入物处理机,以下模块将自动执行该技术。
关于S4UTomato S4UTomato是一款功能强大的权限提升工具,该工具专为蓝队研究人员设计,可以通过Kerberos将服务账号(Service Account)权限提升为LocalSystem...Kerbero的角色 在Windows域环境中,SYSTEM、NT AUTHORITY\NETWORK SERVICE和Microsoft虚拟帐户可以用于对加入域的系统计算机帐户进行身份验证,而在现代版本的...Windows中,大多数Windows服务默认使用Microsoft虚拟帐户运行。...在计算机加入域的任意情况下,只要我们能够在Windows服务帐户或Microsoft虚拟帐户的上下文下运行代码,就可以利用上述技术进行本地权限提升。...在执行操作之前,我们需要为本地设备账户获取TGT,但由于服务账户权限的限制,导致我们无法获取到长期密钥,因此无法构造KRB_AS_REQ请求。
IIS7.5中(仅win7,win2008 SP2,win2008 R2支持),应用程序池的运行帐号,除了指定为LocalService,LocalSystem,NetWorkService这三种基本类型外...启动应用程序池时动态创建“应用程序池标识”帐户,因此,此帐户对于您的应用程序来说是最安全的。...,常常放在主目录之外,同时以虚拟目录形式挂于站点之下,另外在IIS6中不指定该目录任何执行权限 ,这样即使有人非法上传了asp/aspx木马上去,也无法运行搞不成破坏!...把虚拟帐号的权限加入文件夹安全权限中即可,但是问题来了:这个虚拟帐号我们是不可见的,如果你直接添加名为luckty的用户到文件夹安全帐号里,根本通不过(提示找不到luckty用户),说明这个虚拟帐号名称并不是...当然除了用"IIS AppPool\应用程序池名"外,windows内部还有一个特殊的用户组Authenticated Users,把这个组加入TestDir的安全权限帐号里也可以,不过个人觉得没有"IIS
注:这里的服务是指Windows 服务。...看了InstallHelper的源码,发现它会把路径和参数整个套进一对双引号,这样在传递给更底层的安装方法时,底层方法会将该字串视为一个路径,自然不是一个合法的路径。...= 0xEA) //仅当错误值不是大小不够(ERROR_MORE_DATA)时才抛异常 { throw new Win32Exception();...ServiceStartType.Auto, // 启动类型 ServiceAccount.LocalService, // 运行帐户...,可选,默认是LocalSystem,即至尊帐户 new[] { "AudioSrv", "WebClient" } // 依赖服务,要填服务名称,没有则为null或空数组,可选
1.概念介绍 在使用Kerberos身份验证的网络中,必须在内置计算机帐户(如NetworkService或LocalSystem)或用户帐户下为服务器注册SPN。...对于内置帐户,SPN将自动进行注册。但是,如果在域用户帐户下运行服务,则必须为要使用的帐户手动注册SPN。...Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个域中的计算机上安装多个服务实例,则每个实例都必须具有自己的SPN。...当用户需要访问例如MSSQL服务时,系统会以当前用户身份向域控制器查询SPN为MSSQL的记录。...1)SetSPN.exe是一个本地Windows二进制文件,可用于检索用户帐户和服务之间的映射。
Jenkins 的 Windows 安装程序已经存在很多年了,它是用户在 Windows 上安装 Jenkins Master 作为服务的一种方式。...第1步 启动安装程序 ? 这是使用 WiX Toolset Windows 安装程序的默认界面外观,算不上太好看,而且没有太多对安装程序进行说明的品牌信息。 第2步 安装目录 ?...用户不能选择 Jenkins 作为 Windows 服务启动时的端口以及账户。 安装程序捆绑了32位的 Java Runtime,而没有使用已存在的 JRE。...安装程序将只支持64位系统,这也是如今大多数 Windows 系统的现状,所以能让更多的用户能够使用安装包来安装 Jenkins。...JENKINS_HOME 目录被放置在启动服务用户的 LocalAppData 目录下,这与现代 Windows 文件系统布局一致。
这已经不是MSSQL服务器第一次成为此类攻击的目标,但微软安全情报团队透露,最近观察到的这次活动背后的攻击者正在使用合法的sqlps.exe工具作为LOLBin(离地攻击,living-off-the-land...binary的缩写)二进制文件来运行侦察命令,并将 SQL 服务的启动模式更改为 LocalSystem 来实现无文件持久性。...攻击者还使用 sqlps.exe 创建新帐户,并将其添加到 sysadmin 角色中,使他们能够完全控制 SQL 服务器,获得执行其他操作的权限,包括部署像挖矿木马这样的有效负载。...由于sqlps是Microsoft SQL Server 附带的一个实用程序,它允许将 SQL Server cmdlet 作为 LOLBin 加载,使攻击者能够执行 PowerShell 命令,而不必担心防御系统检测到他们的恶意行为...sqlps还会让这些攻击不留下任何痕迹,因为使用 sqlps 是绕过脚本块日志记录的有效方法,这是一种 PowerShell 功能,否则会将 cmdlet 操作记录到 Windows 事件日志中。
cloudbase-init是初始化程序,涉及很多功能,比如购买机器时、重装系统时、重置密码时指定的密码的生效,购买机器时、重装系统时指定的hostname的生效,购买机器时指定的userdata的生效等重要功能...\cloudbase-init这种运行模式历史上有bug,腾讯云公共镜像已经改成了本地系统帐户(LocalSystem)运行,自定义镜像还是....cloudbase-init是系统的一个服务,肯定得系统起来后cloudbase-init才会开始执行,所以肯定是重装结束后cloudbase-init才开始执行,对于那些启动快的其他业务服务建议设置延迟启动...,其启动不要快于cloudbase-init。...cloudbase-init服务不是常驻服务,运行完毕就会自动关闭,建议检测cloudbase-init服务的运行状态为Stopped和cloudbase-init.log最后一句匹配那2串话之一都满足就可以认定为
0x01介绍 当发布Windows 2000和Active Directory时,微软打算在 Windows NT 和Windows 95 上也支持Active Directory,这意味着不仅会产生各种各样的安全问题也会导致更多不安全的配置方式...2.将TGT加密,签名并返回给用户(AS-REP)。只有域中的Kerberos服务(KRBTGT)才能打开和读取TGT数据。...然后还有几点是需要大家明白的 1.当域控查询某一个服务的SPN时 如果该SPN注册在机器账户computers下,将会查询所有机器账户的servicePrincipalName属性,找到所对应的账户。...,必须在内置计算机帐户(如 NetworkService 或 LocalSystem)或用户帐户下为服务器注册 SPN。...对于内置帐户,SPN将自动进行注册。但是,如果在域用户帐户下运行服务,则必须为要使用的帐户手动注册SPN,所以我们需要手动在域用户下注册SPN。
系统服务,,System权限)以高权限运行,访问控制列表错误配置,低权限用户可写依赖的DLL、或者服务本身,当服务重启时,服务加载替换的DLL从而获得权限。...\program files\sub dir\program name.exe 参考:CreateProcessA function——MSDN 如果把要执行的payload放在这些目录下,当服务启动时...当一个服务在Windows系统中启动后,它必须和服务控制管理器通信。如果没有通信,服务控制管理器会认为出现了错误,并会终止这个进程。...如果密码经过验证,系统将生成一个访问令牌。代表这个用户执行的每个进程都由这个令牌的一个副本。 当线程与安全对象交互或试图执行需要特权的系统任务时,系统使用访问令牌来标识用户。...从Windows server 2012 UAC 开始,新设置将: 保持UAC服务运行 管理员启动的提权请求自动获得批准 自动拒绝标准用户的所有提权请求 如果想彻底禁用UAC,请禁用策略”用户帐户控制
漏洞编号: CVE-2017-0290 漏洞名称: Microsoft 恶意软件防护引擎远程执行代码漏洞 风险级别: 高危 漏洞描述: Microsoft恶意软件保护引擎在扫描特制的文件时可能出现内存破坏...成功利用此漏洞的攻击者可在LocalSystem账户下执行任意代码,并完全控制系统,包括安装程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。...攻击者有多种方式放置可能会被扫描的特制文件,例如: 上传到网站; 通过邮件或即时通讯工具发送; 上传到网盘或服务器的共享位置上。...如果用户开启了实时防护,Microsoft恶意软件保护引擎会自动扫描文件,只要扫描到了特制文件就会触发这个漏洞;如果没有开启实时防护,系统执行定期扫描时才会触发这个漏洞。...漏洞修复建议: 将Microsoft恶意软件保护引擎升级到1.1.13704.0或更高版本。如果自动更新功能没有生效,请选择手动更新。
var app = new App(); return app.Run(); } } } 然后,设置此 WPF UI 项目的属性,将启动对象修改成我们新建的...将 WPF UI 项目对接 WiX 捆绑包 1....双击 WPF UI 的项目名称以修改项目文件,将绝对路径改成环境变量引用 $(WIX)(注意这里引用的是环境变量,而不是之前的 MSBuild 属性,虽然写法一模一样): 1 2 3 4 5 6 <ItemGroup...如果发现无法运行,请前往此篇文章调试和解决问题: 使用 WiX 创建最简单的安装包过程中可能出现的问题和解决方案汇总 如果可以正常运行,那么恭喜你,完成了 WiX 安装包入门教程的 Hello World...请回到目录: WiX Toolset 安装包制作入门教程 运行效果: 关闭这个界面后,安装程序也将退出。 附源代码 附上必要的源码,避免你在阅读教程时因模板文件的版本差异造成一些意料之外的问题。
,另外,新购机器的RunInstances接口的UserData(自定义数据)功能依赖cloudbase-init,如果删除,新购机器时如果想用UserData进行高级的初始化自定义设置就实现不了。...1.1.2自定义镜像里的cloudbase-init如果是0.9.11等低版本或dev开发版,这些版本可能有如下问题比如依赖项,新版是4个,这个才1个比如运行cloudbase-init的用户,新版是本地系统帐户...qc cloudbase-init 8192net user cloudbase-init /del 2>&1 > $null4、新版cloudbase-init 1.1.2的配置文件做了一些调优,如果不是...,如果机器没有外网,那只能在腾讯云上海地区的cvm使用,因为脚本我是放在上海COS的,上海CVM和同地域COS是走内网的,并且前提是正确解析上海COS域名到内网IP(一些使用者可能修改了默认DNS导致无法解析域名...因为安装cloudbase-init会产生cloudbase-init用户,不人为干预的话,就会以前面说的这种方式运行图片所以我加了sc.exe config cloudbase-init obj= LocalSystem
2、打开: 控制面板 --> 管理工具 --> 服务 --> 找到 cloudbase-init 服务 --> 右击属性如下图: 1)查看“启动类型”是否是“自动”,如果不是改为如下图所示 image.png...背景原因: 在早期的 Windows 公有镜像里面 cloudbase-init 服务不是以 LocalSytem 服务存在的,因此会对应存在一个账号 cloudbase-init 账号,这个账号本身是安全的因为...当用户手工修改了改账号的密码的时候就会出现Windows 拉起 cloudbase-init 服务的时候用户名密码校验不通过导致 cloudbase-init 服务启动失败。...*解决方案:* 将 cloudbase-init 服务改为 LocalSystem 服务,具体操作方式详见: “如何确认子机内部的 cloudbase-init 服务是正常运行的-> 步骤2”。...问题2:用户禁用了 cloudbase-init 服务,从而使得初始化重置密码等操作失败。 背景原因: 无。 解决方案: 将 cloudbase-init 服务启动类型改为 自动。
142 系统无法在此时运行 JOIN 或 SUBST。 143 系统无法将驱动器合并到或替代为相同驱动器上的目录。 144 目录不是根目录下的子目录。 145 目录不是空的。...183 当文件已存在时,无法创建该文件。 186 传递的标志不正确。 187 找不到指定的系统信号灯名称。 196 操作系统无法运行此应用程序。 197 操作系统当前的配置不能运行此应用程序。...1064 当处理控制请求时,在服务中发生异常。 1065 指定的数据库不存在。 1066 服务已返回特定的服务错误码。 1067 进程意外终止。 1068 依存服务或组无法启动。...防火墙启动时,以下策略处于活动状态 4945 ----- Windows防火墙启动时列出了规则 4946 ----- 已对Windows防火墙例外列表进行了更改。...筛选平台基本筛选引擎启动时出现以下callout 5441 ----- Windows筛选平台基本筛选引擎启动时存在以下筛选器 5442 ----- Windows筛选平台基本筛选引擎启动时
第26集讲什么是windows 服务 第27集讲用windows 服务来host 一个WCF service。 第28集讲用windows 服务来host 一个WCF service的优缺点。...26集不是我们WCF入门教程的重点,所以,我也不写了。 要在上面3个环境中host 一个WCF服务,要做以下几步。 1. 引用System.ServiceModel 命名空间。 2....通过调用该实例的Open方法来启动服务,结束的时候调用Close来关闭。...优点如下: 1. windows 服务可以配置成自动启动,然后给他特定的用户,比如LocalSystem或者是LocalService的,那样,host WCF服务的电脑即使没有用户登录,服务也可以启动...2. windows 服务可以配置当服务被动停止或者中断之后系统该怎么做,比如重启服务什么的。 3. 支持所有的binding 和 传输协议。 缺点如下: 1.
当客户端/服务器连接通过身份验证时: 连接客户端的应用程序使用 SSPI 函数将凭据发送到服务器InitializeSecurityContext (General)。...(Windows 服务实现了一个编程接口,服务控制器管理器可以使用它来控制服务。Windows 服务可以在系统启动时自动启动,也可以通过服务控制程序手动启动。)...当与网络中的其他计算机通信时,LSA 使用本地计算机域帐户的凭据,与在本地系统和网络服务的安全上下文中运行的所有其他服务一样。...如果为交互式登录所需的智能卡启用了帐户属性,则会为帐户自动生成随机 NT 哈希值,而不是原始密码哈希。设置属性时自动生成的密码哈希不会改变。...它存在于每个 Windows 操作系统中;但是,当计算机加入域时,Active Directory 会管理 Active Directory 域中的域帐户。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
