浅谈无文件攻击简介与大多数恶意软件不同,“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹,而是直接将恶意代码写入内存或注册表中。由于没有病毒文件,传统基于文件扫描的防病毒软件很难侦测到它们的存在。...根据受感染计算机上的指纹数量来收集三种主要类型的无文件威胁。需要操作文件进行活动比较容易能理解的意思是恶意代码变成了数据,利用文件相关的程序漏洞或功能特性将恶意数据转换为恶意代码执行。...它在计算机上启用电源、初始化硬件,然后将控制权传输到启动扇区时执行。BIOS是一个重要组件,在低级别运行并在启动扇区之前执行。...脚本与宏具有相同的优势,它们是文本文件(不是二进制可执行文件)并在解释器的上下文中运行(如wscript.exe、powershell.exe),这是一个干净而合法的组件。...为了实现攻击的持久化,攻击者们将恶意代码写入注册表的RUN键值,调用合法的rundll32.exe程序执行JavaScript代码,使自己在重启后自动继续运行,并使用Powershell工具执行恶意脚本
您也不应该使用包含明文密码的脚本来更改本地管理员密码,因为这些脚本往往放置在易于访问的位置,例如 SYSVOL(以利用组策略)。...LAPS 将每台计算机的本地管理员帐户的密码存储在 Active Directory 中,并以计算机对应 Active Directory 对象的机密属性进行保护。...计算机帐户只能写入/更新自己的本地管理员帐户密码(ms-Mcs-AdmPwd 属性),不能从该属性中读取密码。 密码更新流量已加密。 可以轻松更改 OU/域中每台计算机的密码。...作为此过程的一部分,LAPS 客户端生成并设置本地管理员密码,然后更新 AD 计算机帐户上的 LAPS ms-Mcs-AdmPwd 属性(ms-Mcs-AdmPwdExpirationTime 属性也会更新...Fat 客户端 UI 和 PowerShell 模块只需要安装在将管理 LAPS 的系统上,其中包括那些将访问密码的系统。 GPO 组件用于部署和管理 LAPS GPO。
请记住,示例是在已加入域的计算机上完成的,因此,如果您是从不在域上的计算机上执行此操作,则必须连接域控制器,域名,OU等 4.SILENTTRINITY SILENTTRINITY是由@ byt3bl33d3r...基本上,如果您能够在AD中更改计算机对象,你就可以接管该计算机权限。唯一的问题是需要有一个2012+域控制器,因为旧版本不支持基于资源的约束委派(RBCD)。...有三种工具可用于此操作: Powermad POWERVIEW Rubeus 然后使用rsmith的凭据在Windows 10计算机上执行此攻击。...在我的参与和评估中,我经常运行一些PowerShell脚本来帮助识别下一个目标,检查错误的组策略设置,AD错误配置,缺少补丁等。...此脚本结合了我经常使用的脚本并自动运行我在这些脚本中使用的功能,将结果输出到zip文件中。
使用域Kerberos服务帐户(KRBTGT)对黄金票证进行加密/签名时,通过服务帐户(从计算机的本地SAM或服务帐户凭据中提取的计算机帐户凭据)对银票进行加密/签名。...通过为cifs服务创建白银票据,以获得目标计算机上任何Windows共享的管理权限 3.0 黄金票据和白银票据区别 1.TGS ticket针对的是某个机器上的某个服务,TGT针对的是所有机器的所有服务...整个过程比较简单,我们需要注意的是,服务票据会使用服务账户的哈希进行加密,这样一来,Windows域中任何经过身份验证的用户都可以从TGS处请求服务票据,然后离线暴力破解。...4.将服务票证导出到文件后,可以将该文件发送到运行带有Kerberoast的Kali Linux的攻击者计算机。破解与票证(文件)相关的服务帐户的密码。...在预身份验证期间,用户将输入其密码,该密码将用于加密时间戳,然后域控制器将尝试对其进行解密,并验证是否使用了正确的密码,并且该密码不会重播先前的请求。发出TGT,供用户将来使用。
捍卫者心中的问题是“这是怎么发生的?”。 攻击通常从向一个或多个用户发送鱼叉式网络钓鱼电子邮件开始,使攻击者能够让他们的代码在目标网络内的计算机上运行。...减轻: 在用于管理 GPO 的每台计算机上安装 KB2962486,以防止将新凭据放置在组策略首选项中。 删除 SYSVOL 中包含密码的现有 GPP xml 文件。...使用用户帐户登录计算机并通过在 RDP 凭据窗口中键入域管理员凭据打开与服务器的 RDP 会话,会将域管理员凭据暴露给在系统上运行键盘记录器的任何人(这可能是先前危害用户的攻击者帐户和/或计算机) 如果有服务部署到在具有域管理员权限的服务帐户的上下文下运行的所有工作站或所有服务器...当服务使用显式凭据启动时,凭据会加载到 LSASS 中,以便服务在这些凭据的上下文中运行。对此计算机具有管理员权限(或本地系统)的人可以从 LSASS 转储凭据,并可以重复使用这些凭据。...不要低估您的虚拟管理员对虚拟域控制器的影响。 您的 vCenter 管理员组在 AD 中?您可能想要更改... 将适当的权限委派给适当的组,不要让攻击者能够通过服务器管理员帐户对 AD 进行后门。
•要求所有脚本和配置文件都由受信任的发布者签名,包括在本地计算机上编写的脚本。...•在运行来自你尚未归类为受信任或不受信任的发布者的脚本之前提示你 RemoteSigned •Windows 服务器计算机的默认执行策略。 •脚本可以运行。...•需要可信发布者对从 Internet 下载的脚本和配置文件(包括电子邮件和即时消息程序)进行数字签名。•不要求在本地计算机上编写的脚本(不是从 Internet 下载的)具有数字签名。...•此执行策略设计用于将 PowerShell 脚本内置到更大应用程序中的配置,或用于将 PowerShell 作为具有自己的安全模型的程序的基础的配置。...这种技术可以用来从网上下载一个PowerShell脚本并执行它无需写入磁盘。它也不会导致任何配置更改。
用户帐户的凭据 3.在任务栏上的 PowerShell 快捷方式,右键打开属性并单击的“高级”,然后选中所表示的"以管理员身份运行"复选框,然后双击“确定”,以接受更改并退出这两个对话框。...LinkID=113332 #备注:Get-Help 在此计算机上找不到该 cmdlet 的帮助文件它仅显示部分帮助。...Policoes): AllSigned: 签名认证,要求所有脚本和配置文件均由受信任的发布者签名,包括您在本地计算机上编写的脚本。...它存储在HKEY_CURRENT_USER注册表子项中。 LocalMachine: 执行策略会影响当前计算机上的所有用户。...PS数据文件 具有 .psd1 文件扩展名的文本文件。 PS 将数据文件用于多种用途,例如存储模块清单数据和存储用于脚本国际化的已翻译的字符串。 PS驱动器 一个提供直接访问数据存储的虚拟驱动器。
4.为每台PC本地管理员设置随机密码 在少部分企业中,通过计算机开机脚本,为每台计算机设置随机密码,并通过其他方法配合禁止有本地管理员权限的用户去更改本地账号密码,此种方式与直接禁用本地管理员账号优缺点并不太大差异...安装在每台计算机上的客户端组件会生成随机密码,更新关联的AD计算机帐户上的LAPS密码属性,并在本地设置密码。...LAPS组件 代理-组策略客户端扩展(CSE)-通过MSI安装 事件记录 随机密码生成-从客户端计算机写入AD计算机对象 PowerShell模块 权限配置 Active Directory-集中控制...LAPS将每台计算机的本地管理员帐户的密码存储在Active Directory中,并在计算机的相应Active Directory对象的安全属性中进行保护。...将密码的下一个到期时间报告给Active Directory,并将该属性与计算机帐户的属性一起存储在Active Directory中。 更改管理员帐户的密码。
本教程将指导您在本地Windows 10计算机上安装Python 3并通过命令行设置编程环境。 准备 您将需要一台具有管理访问权限的Windows 10计算机,该计算机已连接到Internet。...第1步 - 打开并配置PowerShell 我们将在命令行界面上完成大部分安装和设置,这是一种与计算机交互的非图形方式。也就是说,您不是点击按钮,而是键入文本并通过文本从计算机接收反馈。...RemoteSigned将允许您运行从受信任的发布者签名的Internet下载的脚本和配置文件,如果这些受信任的脚本实际上是恶意的,则再次打开您的计算机漏洞。...要查看更改,请使用refreshenv命令或以管理员身份关闭并重新打开PowerShell,然后检查本地计算机上可用的Python版本: python -V 您应该获得如下输出: Python 3.7.0...22/2016 2:20 PM Scripts -a---- 8/22/2016 2:20 PM 107 pyvenv.cfg 这些文件一起用于确保您的项目与本地计算机的更广泛的上下文隔离
,用于管理本地或远程的Windows系统,攻击者使用wmi来进行攻击,但Windows系统默认不会再日志中记录这些操作,可以做到无日志,攻击脚本无需写入到磁盘,增加了隐蔽性。...,允许管理员“配置WinRM并获取数据或管理资源” 是基于WinRM脚本API,而这个api使我们使能够从远程计算机执行WS-Management协议操作和获得数据。...)(组件对象模型)的扩展,它允许应用程序实例化和访问远程计算机上COM对象的属性和方法,就像使用基于DCERPC的DCOM协议在本地计算机上的对象一样,有关每个COM(和DCOM)对象的标识,实现和配置的信息存储在注册表中...远程计算机检查是否存在与所讨论的CLSID关联的AppID,并验证客户端的权限。...这使攻击者可以与远程计算机上的COM对象进行交互,这些对象通常不会由DCOM公开。
htm 这些命令创建并打开一个 HTML 页,该页列出了本地计算机上进程的名称、路径和所属公司。 第一个命令使用 Get-Process cmdlet 获取用来表示计算机中运行的进程的对象。...(提示:记住,所有的Cmdlet命令包含一个名词) Get-Process Cmdlet Microsoft.PowerShell.M... 获取在本地计算机或远程计算机上运行的进程。...Start-Process Cmdlet Microsoft.PowerShell.M... 启动本地计算机上的一个或多个进程。...此命令将一个事件从 MyApp 源写入远程计算机 Server01 上的应用程序事件日志。 6.你必须知道别名是Cmdlet命令的昵称。...8.从安全事件(event)日志检索所有的条目可能需要很长时间,你怎么只获取最近的10条记录? 求解答 9.是否有办法可以获取一个远程计算机上安装的服务(services)列表?
为了克服上述这些问题,在Windows 95及其后继版本中,采用了一种叫做“注册表”的数据库来统一进行管理,将各种信息资源集中起来并存储各种配置信息。...注册表包含了每个计算机用户的配置文件,以及有关系统硬件、已安装的程序和属性设置的信息。 可以使用注册表编辑器检查并修改注册表。...●本文内容中“注册表文件修改方法”是指将描述的内容用记事本等文本编辑工具写入一个.reg文件,然后双击这个文件或用注册表编辑器将其导入到注册表的注册表修改方法。此方法安全快速。...在更改注册表之前,至少应该备份计算机上任何有价值的数据。...如果必须直接编辑注册表,则请首先将其备份,使用Reg直接编辑本地或远程计算机的注册表,这些更改有可能造成计算机无法操作并需要重新安装操作系统,所以不要直接编辑注册表,而应尽可能利用“控制面板”或“Microsoft
当针对受害者时,我将在攻击者计算机上创建一个特定于我的目标主机的工作目录。然后我可以将用于特定漏洞利用的任何工具复制到该目录中。...4.2上传文件到攻击者的FTP服务器:cmd.exe 我们对用于将 ftp.txt 文件制作为“PUT”而不是“GET”的 PowerShell 命令进行了相同的更改,我们还将对 cmd.exe 版本进行更改...5.与攻击者的SMB服务器之间传输文件 5.1在攻击者机器上设置SMB服务器 有一个出色的脚本,可用于在我们的攻击者计算机上启动快速 SMB 共享,称为impacket-smbserver ,它是Impacket...检查文件,我们可以看到在将文件大小与攻击者计算机上的原始文件大小进行比较后,它已完整传输。...“ -s ”开关用于设置攻击者计算机上的目录,可用于直接在受害者上执行 PS1 脚本。 为 PS1 脚本和二进制文件 (EXE) 设置目录允许我们将它们从攻击者计算机直接执行到受害者的内存中。
accounttraceid=c4c9a768-4a9f-42f8-b1e1-f8707574eeb9 防: 在用于管理GPO的计算机上安装KB2962486,以防止将新凭据置于组策略首选项中。...Silver Ticket由服务账号(通常为计算机账户)Hash加密 认证流程不同: Golden Ticket在使用的过程需要同域控通信 Silver Ticket在使用的过程不需要同域控通信 用户在适当的端口上连接到托管服务的服务器并呈现...获取系统SAM文件等 使用VSS卷影副本(通过WMI或PowerShell的远程处理)远程提取NTDS.DIT 窗口有一个名为WMI的内置管理组件,支持远程执行(需要管理员权限).WMIC是在远程计算机上执行命令的...Invoke-NinaCopy是一个PowerShell函数,它可以利用PowerShell远程处理(必须在目标DC上启用PowerShell远程处理),从远程计算机上复制文件(即使文件已锁定,可直接访问文件...组策略默认情况下每90分钟(域控制器5分钟)可包括安全选项,注册表项,软件安装以及启动和关闭脚本以及域成员刷新组策略设置。这意味着组策略在目标计算机上执行配置的设置。
通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。...例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11 安全设置,然后将所有这些设置应用到域中的每台计算机。...从Windows Vista开始,LGP允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。...通常用来存放组策略数据 和 一些脚本 配置文件,这些策略和脚本将用于传递给域成员机器。...此外,域控机器之间因为要自动同步域数据,SYSVOL文档允许该域内的所有DC机之间进行复制,并且所有的AD用户都可以访问它 在域中,用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。
通过使用组策略,你可以设置策略设置一次,然后将该设置复制到多台计算机上。...例如,你可以在链接到域的 GPO 中设置多个 Internet Explorer11安全设置,然后将所有这些设置应用到域中的每台计算机。...从Windows Vista开始,LGP允许本地组策略管理单个用户和组,并允许使用“GPO Packs”在独立计算机之间备份、导入和导出组策略——组策略容器包含导入策略到目标计算机的所需文件。...通常用来存放组策略数据 和 一些脚本 配置文件,这些策略和脚本将用于传递给域成员机器。...此外,域控机器之间因为要自动同步域数据,SYSVOL文档允许该域内的所有DC机之间进行复制,并且所有的AD用户都可以访问它 在域中,用户登录(计算机)时,会首先在SYSVOL文件查找GPO和启动脚本。
Kerberos身份验证使用SPN将服务实例与服务登录帐户相关联。如果在整个林或域中的计算机上安装多个服务实例,则每个实例都必须具有自己的 SPN。...然后,安装程序将编写 SPN,并作为帐户对象的属性写入 Active Directory 数据库中。 如果服务实例的登录帐户发生更改,则必须在新帐户下重新注册 SPN。...当客户端想要连接到某个服务时,它将查找该服务的实例,然后连接到该服务并显示该服务的 SPN 以进行身份验证。 在内网中,SPN扫描通过查询向域控服务器执行服务发现。.../ 仅服务类就足以为客户端标识服务提供的功能。可以在多台计算机上安装服务类的实例,并且每个实例都提供使用其主计算机标识的服务。...请注意,如果计算机的 DNS 名称发生更改,系统将更新林中该主机的所有已注册的SPN的元素。
组管理服务帐户 (GMSA) 创建用作服务帐户的用户帐户很少更改其密码。组托管服务帐户 (GMSA)提供了一种更好的方法(从 Windows 2012 时间框架开始)。密码由 AD 管理并自动更改。...此 GMSA 是域管理员组的成员,该组对域具有完全的 AD 和 DC 管理员权限。屏幕截图显示密码最近更改了,几周内不会更改 - 更改于 2020 年 5 月 11 日,并配置为每 30 天更改一次。...如果我们能够破解的帐户是计算机帐户,我们需要在计算机上以 SYSTEM 身份运行这些命令。...计算机帐户有权提取密码,但不是该计算机上的用户,因此我提升到 SYSTEM,然后作为关联的 AD 计算机帐户与 AD 交互。现在我可以得到 GMSA 密码了。...减轻 确定实际需要的权利,并确保只有所需的有限权利适用于 GMSA。 不要添加到 AD 特权组,除非使用 GMSA 的服务器仅限于第 0 层(域控制器)。
允许网络中拥有多台域控制器(容灾) • 成员服务器:安装了服务器操作系统并加入了域,但没有安装活动目录的计算机,主要任务是提供网络资源 • 客户机:安装了其他操作系统的计算机,利用这些计算机和域中的账户就可以登录到域...\ailx0000.txt #删除文件 3.常见用途: 1、绕过本地权限并执行 2、从网站服务器中下载脚本,绕过本地权限并偷偷执行 3、使用Base64对PowerShell命令进行编码 第三部分:内网环境搭建...2.在控制面板-系统和安全-计算机名、域和工作组-计算机名--更改--计算机名 3.安装域控制器和dns服务。...3.更改计算机名,更改为win7-X64-test,将域名更改为hacke.testdb 4.然后输入域管理员的账号和密码,登录成功。...2.将主机加到域中,改计算机名字。 3.然后登录 4.这样就搭建了一个小型内网。
Azure 为组织提供了管理用户和服务主体身份所需的所有工具,并具有承诺降低开销、提供更长的正常运行时间并简化管理的有吸引力的功能。...这些工具允许管理员在一定程度上配置端点,虽然这些系统与您可以通过组策略实现的端点的细粒度控制相比可能相形见绌,但您可以配置和控制的系统范围相当大,这要归功于混合 Azure AD 加入设备。...正如计算机可以“加入”到本地 Active Directory 域(以及这样做的所有后果),计算机也可以“加入”到 Azure Active Directory 域。...将计算机加入 vanilla AD 和 AzureAD 之间存在显着的技术和实践差异,但现在非常基本的类比就足够了。...不仅可以将计算机加入普通 AD 域或AzureAD 域,还可以将计算机同时加入普通 AD 域和AzureAD 域:这就是微软所说的混合 Azure AD 加入。
领取专属 10元无门槛券
手把手带您无忧上云