我需要写一个脚本，使其与Windows中运行的服务和进程相关联。将结果放入哈希表 - 腾讯云开发者社区 - 腾讯云

开发者社区

文档建议反馈控制台

文章/答案/技术大牛

发布

红队技巧-常规横向手法

4.当用户输入命令时，WMI创建进程执行该命令，然后把结果输出到文件，这个文件位于之前创建的共享文件夹中。 5.通过FSO组件访问远程共享文件夹中的结果文件，将结果输出。...，通过它可以访问、配置、管理和监视几乎所有的Windows资源，比如用户可以在远程计算机器上启动一个进程；设定一个在特WMI允许脚本语言（例如VBScript或Windows PowerShell）在本地和远程管理...，并与一些重要的标识符相关联: CLSID -所述类标识符是一个GUID，它充当一个COM类的唯一标识符，并且每一个在Windows注册类与CLSID相关联（COM对象可以在没有登记使用，但是这超出了本文的范围...ProgID不能保证是唯一的，并且与CLSID不同，并非每个类都与ProgID相关联。 AppID -该应用程序标识符用于指定一个的配置或多个COM对象与同一可执行相关联。...在客户端应用程序和服务器进程之间建立通信。在大多数情况下，新过程是在与DCOM通信关联的会话中创建的。然后，客户端可以访问新创建的对象的成员和方法。

2.8K2 0

横向移动与域控权限维持方法总汇

），默认在lsass.exe这个进程中不会再将可逆的密文缓存在自己的进程内存中，所以我们默认是没办法通过读取这个进程然后逆向该密文来获取明文密码虽然可以通过修改注册表来使LSASS强制存储明文密码 reg...将生成的值放入两个检验和即可，KDC拿到0x00000001 KERBVALIDATIONINFO，并且通过解析数据包获取当前加密算法为MD5，然后对其进行MD5加密，若加密结果与校验和一致，则认为PAC...这里简要说一下几个有关COM的概念 CLSID：又叫CLASSID 一个COM类的唯一标识符，每一个Windows注册类与一个CLSID相关联。...DCOMLaunch服务将创建所请求的类的实例，通常是通过运行LocalServer32子项的可执行文件，或者通过创建DllHost进程来承载InProcServer32子项引用的dll。...它包括域中所有用户的密码哈希值，为了进一步保护密码哈希值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。”

2.5K2 0

您找到你想要的搜索结果了吗？

是的

没有找到

攻击本地主机漏洞（上）

在单片内核中，进程托管在内核地址空间（即特权模式）中，应用程序使用系统调用与内核通信，而在微核中，内核被分解为单独的进程，这些进程托管在内核空间和用户空间（即特权较低）中，进程可以使用进程间通信（IPC...表10-2列出了一些与利用现有操作系统功能的MaC.Linux和Windows操作系统相关的技术。...权限提升是通过利用主机上的特定弱点（例如在Windows中以系统级权限运行的软件应用程序）或利用root拥有的setuid命令中的配置弱点，在系统或网络上获得更高级别权限的结果。...我们将特别关注内核级漏洞利用凭证转储无人值守安装 DLL劫持 Windows内核级漏洞利用表10-1中CVE详细信息报告的20%到30%的漏洞与获得权限和Windows内核中的缺陷有关。...在Windows中，Kerberos要求SPN至少与一个服务登录账户（即运行该服务的账户）相关联。Kerberos使用SPN确定要使用哪个服务账户哈希来加密服务票证。

1.9K1 0

基于合法RMM工具的多阶段持久化攻击检测与防御研究

主流RMM解决方案如ITarian、PDQ Deploy、Atera等均具备合法数字签名、标准端口通信（如HTTPS/443）及系统服务级部署能力，使其在网络流量与进程行为层面与正常业务操作高度一致。...2.3 持久化与权限提升RMM代理安装后，通常以系统服务形式运行（如RmmService.exe、PDQDeployService.exe），并自动配置以下持久化机制：Windows服务注册：在HKLM...2.4 后续载荷投递与横向移动一旦RMM通道建立，攻击者通过其管理界面执行以下操作：文件上传：将Mimikatz、Cobalt Strike Beacon等工具上传至临时目录；脚本执行：运行PowerShell...此外，沙箱运行时间有限（通常的二次载荷投递。3.3 EDR规则覆盖不足多数EDR默认策略聚焦于已知恶意进程（如mimikatz.exe）、可疑注册表写入或异常网络连接。...结果表明，四维防御框架可有效识别并阻断90%以上的RMM滥用场景。6 结语RMM工具的合法身份与强大功能使其成为威胁行为者实现持久化访问的高效载体。

2821 0

寻找活动目录中使用可逆加密存储密码的账户

然后，Hashcat将新计算的代表Autumn2018的哈希值，与你给出的哈希值列表进行比较。如果找到一个或多个匹配项，则表示这些帐户使用的密码为Autumn2018。好了，话不多说！...为此，我创建了一个VSS快照并将ntds.dit文件与包含提取哈希所需的BOOTKEY的SYSTEM注册表hive一起复制。...但在测试中我意外的发现，脚本还会输出了扩展名为“.CLEARTEXT”的文件。 secretsdump脚本使用outputfile参数指定，将所有哈希写入前缀为“breakme”的文件。...UserAccountControl属性是与用户帐户的设置相关联的属性，长度为32位。...如果你希望结果垂直列出而不是以表格的形式列出，那么你可以使用Format-List命令。当然，你也可以将结果全部输出到一个文件中....

3.7K1 0

伪装即时通讯更新的隐蔽间谍软件分发机制与防御策略研究

如果目标机器处于隔离环境、沙箱或者网络不通，导致无法连接到C2服务器，安装程序将立即终止运行，并返回标准的Windows Installer错误代码 1603（Installation failed）。...它内置了一个代理隧道功能，能够将窃取的敏感数据（如屏幕截图、键盘记录、文件内容）封装在看似正常的网络流量中。具体而言，恶意软件会将恶意流量与合法的HTTPS流量混合，或者利用常见的云服务端口进行通信。...：tsvchst 模仿了Windows系统的 svchost.exe（Service Host），这是Windows中承载多个服务的通用主机进程名称。...注册表与服务：定期检查系统中是否存在名为 tsvchst 和 pmon 的服务，特别是当它们的可执行文件路径指向非系统目录时。...5.3 自动化清除脚本示例为了高效地清除该威胁，以下提供一个PowerShell脚本示例。该脚本旨在自动化执行停止服务、卸载MSI、删除残留文件及清理注册表的操作。

1031 0

Windows主机入侵痕迹排查办法

若在排查网络连接中，任务管理器只能看到有命令行工具（如powershell、cmd）powershell进程与外联IP建立会话，无法看到进程对应的运行参数。...（注：aaaa中的键值0x3ea表示该账号与Users表中相应数值的表相对应，在删除账号时需一起删除） ? 注：异常账号删除后需要将之前授权的administrator移除SAM权限。...2.1.5自启动项排查步骤：使用Autoruns工具查看自启动项查看组策略中的脚本查看注册表中的脚本、程序等查看各账号自启目录下的脚本、程序等查看Windows服务中的可执行文件路径分析方法...打开gpedit.msc—计算机配置/用户配置—Windows设置—脚本，在此处可设置服务器启动/关机或者用户登录/注销时执行的脚本。下图1、2两处的脚本均需要查看是否添加有脚本。 ?...我这里没有脚本。 2.1.6日志工程师基本都会看日志，windows日志也就那些内容，比较简单，我就不细述，主要写一下几个比较重要的点，基本上就可以排查出是否有异常登录了。

4K2 0

Cobalt Strike 学习记录

服务端只能运行在Linux系统中，可搭建在VPS上；客户端在Windows、Linux、Mac下都可以运行 (需要配置好Java环境)。...下载好CobaltStrike.zip解压，将文件夹放入Linux机器中（我放在了 opt 目录下），然后运行： cd /opt/CobaltStrike4 chmod +x teamserver...，双击运行文件夹中的 Cobalt Strike 4.exe ，这个exe是我自己制作的启动器，如果你下载的其他安装包，你可以点击文件夹中的 start.bat 进行启动。...如果这是您与此团队服务器的第一次连接，Cobalt Strike将询问您是否识别此团队服务器的SHA256哈希值。如果您这样做，请按OK，Cobalt Strike客户端将连接到服务器。...文件/进程管理文件/进程管理与键盘记录安装扩展选择菜单栏的Cobalt Strike–>脚本管理器，点击load，然后选择 cna 扩展文件即可，旁边的unload为去除该扩展，reload为重新加载该扩展

1.7K3 0

渗透测试神器CobaltStrike使用教程

Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。...CobaltStrike官网环境：Java 设备：Windows或Linux均可（推荐服务端使用Linux服务器）目录文件和功能介绍： agscript：扩展应用的脚本 c2lint... Executable：生成32位或64位的exe、dll可执行文件 5.Windows Executable(S)：用于生成一个exe可执行文件，包含Beacon的完整payload，与4相比，该模块额外提供了代理功能...并且支持Powershell脚本，用于将Stageless Payload注入内存。复制 4.远控进行vnc，文件管理，进程查看等一系列操作。... 从进程中窃取令牌 timestomp 将一个文件时间戳应用到另一个文件 unlink

6K2 0

操作系统八内存管理

当cpu调度器选择一个进程执行时，作为上下文切换的一部分，调度程序会用正确的值初始化重定位寄存器和界限地址寄存器，保证其他进程不受该进程运行所影响。...当执行进程时，其页从备份存储（他也分固定大小的块，大小与内存帧一样）中调入到可用的内存帧中。由CPU生成的每个地址分为两个部分：页号P和页偏移d,页号作为页表的索引。...当进程需要执行时，根据进程的大小计算页数n,从而内存中也应该至少有n个帧用来分配给新进程。进程的第一页装入一个分配的帧，帧号放入进程的页表中。如下图所示 ? ...4.2硬件支持页表的硬件实现有多种方法。最简单的是将页表作为一组专用寄存器来实现 4.3保护分页环境下，内存保护是通过与每个帧相关联的保护位来实现的。...虚拟地址中的虚拟页号转换到哈希表中，用虚拟页号与链表中的每一个元素的第一个域相比较。如果匹配，那么相应的帧号就用来形成物理地址。

1.2K1 0

渗透测试神器CobaltStrike使用教程

Cobalt Strike已经不再使用MSF而是作为单独的平台使用，它分为客户端与服务端，服务端是一个，客户端可以有多个，可被团队进行分布式协团操作。...CobaltStrike官网:https://www.cobaltstrike.com 环境：Java 设备：Windows或Linux均可（推荐服务端使用Linux服务器）目录文件和功能介绍：...agscript：扩展应用的脚本 c2lint：该文件主要检查profile的错误和异常 teamserver：服务端启动程序 cobaltstrike.jar：CobaltStrike...并且支持Powershell脚本，用于将Stageless Payload注入内存。 4.远控进行vnc，文件管理，进程查看等一系列操作。...从进程中窃取令牌 timestomp 将一个文件时间戳应用到另一个文件 unlink

8481 0

windows权限维持大结局

：需通过在注册表中进行类似账号克隆的操作，分别将如下图所示的项分别导出为item1.reg和item2.reg：在item1.reg中编辑F参数，通过复制Administrator在注册表中的...run killav 策略组(作业) gpedit.msc -> 计算机配置 -> windows设置 -> 脚本通过设置启动与关机时要运行的脚本，执行相关命令。...SharPersist 计划任务（schtasks.exe）（作业） schtasks.exe 用于在windows系统中指定任务计划，使其能在特定的事件日期执行程序和脚本。...查看在svchost进程下成功创建了notepad进程当使用指定账户创建运行计划任务时，当前用户必须具有与之相对或者更高的权限（使用管理员账户以ystem权限运行计划任务失败）创建新服务（...，将后门dll重命名并放置到 %SystemRoot%\system32\ 中，远程杀掉 MSDTC 服务，使其重启，加载恶意DLL.

2.9K4 0

获取Windows系统密码凭证总结

2 内容速览 Windows 加密简介在Windows系统中,通常会使用哈希(hash)转化我们存入的密码,哈希是将目标文本转换成具有相同长度的,不可逆的字符串,具体到应用层还有很多不同的分支 Windows...与sam数据库C:\Windows\System32\config（%SystemRoot%\system32\config\sam）中该用户的哈希比对匹配则登陆成功，不匹配则登陆失败本地认证中用来处理用户输入密码的进程为...lsass.exe,密码会在这个进程中明文保存，供该进程将密码计算成NTLM Hash与sam进行比对。..., 主要用于桌面应用开发人员对应用的一些检测处理,我们使用Procdump实现的主要功能是将正在运行的程序生成静态文件方便我们进行分析操作,我在上述介绍中提过,处理我们密码的程序是lsass.exe,...lsass文件移动到本机中(最好将此文件和mimikatz.exe放在同一个文件夹,如果不是同一个文件夹,需要在猕猴桃中cd到lsass所在的文件夹中) # 载入静态的lsass文件 sekurlsa:

2.3K1 0

邮件系统日志的合规性与隐私保护技巧

例如，用户登录IP哈希后存储，需关联查询时，仅需对查询IP进行相同哈希运算即可匹配，避免原始IP泄露。需注意，哈希前可添加盐值（Salt），提升加密安全性，防止彩虹表破解。...例如，使用Shell脚本定期删除90天前的系统运行日志，核心命令如下：#删除/var/log/email/目录下90天前的日志文件find/var/log/email/-name"*.log"-mtime...只读存储与权限管控：日志存储目录设置为“只读”权限，仅日志服务进程可写入，禁止其他用户（包括管理员）修改、删除日志；同时，限制日志服务进程的权限，避免被恶意利用篡改日志。...集中化日志管理：将所有邮件服务器的日志集中采集至专用日志服务器，脱离业务服务器存储，减少日志被篡改的风险，同时便于统一管理与审计（如使用ELKStack、腾讯云日志服务实现集中采集）。...4.2系统敏感信息保护邮件系统日志中包含的服务器IP、管理员账号、邮件队列信息等系统敏感信息，需单独采取保护措施：脱敏处理：对服务器IP、管理员账号等信息进行掩码或哈希脱敏，例如管理员账号“admin”

2031 0

域内横向移动分析及防御

）是为了实现进程间通信而开放的命名管道可以通过验证用户名和密码获得相应的权限通过ipc$可以与目标机器建立连接，利用这个连接可以在目标机器上运行命令建立一个ipc$ net use \\192.168.1.10...PTH（Pass the Hash 哈希传递）来进行横向渗透 2、单机密码抓取可以使用工具将散列值和明文密码从内存中的lsass.exe进程或SAM文件中导出本地用户名、散列值和其他安全验证信息都保存在...XP中添加了一个名为WDigest的协议，该协议能够使Windows将明文密码存储在内存中，以方便用户登录本地计算机。...修改注册表，使其不再这样做根据Debug权限确定哪些用户可以将调试器附加到任何进程或内核中，默认情况下只有Administrator。...如果服务器开启了防火墙，wmic将无法进行连接。此外，wmic命令如果没有回显，可以将命令结果输出到某文件，并使用ipc$和type来读取信息。

2.2K1 1

Scheduled-Task-Tampering

否则这将不起作用第二种方法不需要杀死无辜进程和重新启动服务，主要包括更新新创建的任务定义请注意尽管示例显示了schtasks实用程序的用法，但使用任务调度程序RPC 接口可以实现相同的结果，现在有趣的部分是任务定义的更新将在事件日志中生成一个条目...，因此我们将分析注册表中的操作值，一个例子如下所示：可以看出结构中存在两个Unicode字符串，值Author和将执行的命令，对二进制blob中的值进行更深入的检查得出以下结论： '03 00'...因此为了使其适用于整个进程，有必要遍历所有进程的线程并相应地配置断点和VEH ....此外还添加了一个定期扫描新线程的逻辑，因为调度程序服务新创建的线程不会受到这种绕过修改后的PoC被编译为Windows DLL并注入到托管调度程序服务的 svchost.exe进程中，以下视频显示了攻击的结果...：请注意，此事件不存在于任务计划程序的安全事件中，它将仅记录任务的创建、删除和修改，因此如果ETW在Scheduler服务上被篡改，则不会捕获由任务启动的操作另一种更强大的方法将包括父子进程关系，

1.3K1 0

国内版“Manus”AiPy开发Windows沙箱工具，进程行为+网络传输层级监控！

在功能上，它能够通过命令行或图形界面接收并执行攻击者的指令，完成文件操作、进程管理、网络信息收集等远程控制任务；通过修改注册表、服务启动项等方式实现持久化驻留，确保目标系统重启后仍能保持连接；还能作为跳板机...，横向移动至目标网络中的其他主机，扩展渗透范围，并获取目标系统的敏感信息，如密码哈希、文件内容等，回传至攻击者控制的服务器。...在使用环境上，它在启用 Windows Defender Application Guard 或严格的内存保护机制的系统中运行受限，对低权限用户账户的功能也有限，需配合提权操作才能完全发挥作用。...因此我们希望通过aipy能开发一个windows沙箱工具对文件进行直接的分析。...二、过程提示词：帮我写一个沙箱工具，在windows10中，分析桌面上的nimplant.exe，包括他的进程行为、网络连接信息、文件控制信息等，尤其是网络部分，做传输层级别的监控，包括他可能发送的tcp

3551 0

在你的内网中获得域管理员权限的五种方法

攻击者等待某人来验证在他网络上的目标服务器。这样一来可以利用漏洞扫描器+管理员自动验证主机脚本。当自动化进程连接到攻击者，他通过他的目标(网络上的其他系统，也许是服务器)进行身份验证。...域控制器获取该用户的密码哈希值，然后使用该哈希值对原始质询进行加密。接下来，域控制器将加密的质询与客户端计算机的应答进行比较。如果匹配，域控制器则发送该用户已经过身份验证的服务器确认。...在上面的场景中，我能够将凭据从一个网络中继到另一个网络，并检索可以通过wmiexec.py传递的管理员散列。并且可以让我在不破解哈希的情况下，直接获取域管理员权限。...实质上，当域帐户被配置为在环境中运行服务时（例如MSSQL），服务主体名称（SPN）在域中被使用将服务与登录帐户相关联。...当用户想要使用特定资源时，他们会收到一个当前运行该服务帐户的NTLM哈希和签名的Kerberos票据。下面的例子来自mubix的网站： ?

2.5K5 0

如何防御“神器”Mimikatz窃取系统密码？

Mimikatz是一款能够从Windows中获取内存，并且获取明文密码和NTLM哈希值的神器，本文将介绍如何防御这款软件获取密码。...Mimikatz介绍 Mimikatz是一款能够从Windows认证(LSASS)的进程中获取内存，并且获取明文密码和NTLM哈希值的工具，攻击者可以借此漫游内网。...我找到的最好的一篇文章，里面提到了很多好的建议，诸如使用最近版本的活动目录中的“受保护的用户”用户组(SID:S-1-5-21--525)，或者是限制使用管理员，或者通过注册表设置不在内存中储存密码。...你可以限制以系统身份运行的服务数量，或者移除调试权限，防止攻击者使用mimikatz。这篇文章和其他的那些文章都要让你安装Windows8或者8.1或者10版本。...密码的存储是由一个注册表设置决定的。就像保护用户组的功能一样，在新版本的Windows(8.1+ & 2012R2+)中，密码默认不会储存在内存中。

1.3K9 0

手把手教你如何利用Meterpreter渗透Windows系统

注意：运行了exploit命令之后，我们开启了一个reverseTCP处理器来监听192.168.198.196：4444，即我（攻击者）的本地主机地址（LHOST）和端口号（LPORT）。...脚本和post模块都需要通过“run”命令执行，我在测试环境中运行hashdump模块后的结果如下： ?...可选参数如下： -H：创建一个隐藏进程 -a：传递给命令的参数 -i：跟进程进行交互 -m：从内存中执行 -t：使用当前伪造的线程令牌运行进程 -s：在给定会话中执行进程 ?...创建一个新账号接下来，我们可以在目标系统中创建一个新的用户账号（getgui脚本，使用-u和-p参数），并给它分配管理员权限（使用），然后将其添加到”远程桌面用户”组中。 ? ?...首先，我们需要确保目标Windows设备开启了远程桌面功能（需要开启多个服务），不过我们的getgui脚本可以帮我们搞定。

2.9K4 1

点击加载更多

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭