欢迎进入UG环球官网(环球UG)!

usdt不用实名买入卖出(www.caibao.it):技术文章 | windows横向渗透中的令牌完整性限制

admin2个月前37

USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

在企业的内网平安防御中,通常会将横向移动手艺作为指标,举行有针对性的检测。尽管如此,照样有不少攻击者巧妙地避开了层层关卡,在Windows环境中横向移动。针对这些高级攻击者,该若何应对呢?在使用IPC,WMIC等举行横向移动时,若是使用RID非500的治理员用户,有时会拒绝接见,是什么缘故原由?

本文由锦行科技的平安研究团队提供,站在攻击者的视角剖析windows内的横向移动,辅助人人深入领会横向移动的全过程以应对该种攻击。

Kb2871997

网传Kb2871997 是限制远程接见的主要缘故原由,测试一下

01 工作组环境下


①主机B:win7 ,192.168.18.156 ,未打Kb2871997补丁

用户 win7 非500的主机B内陆治理员账户


使用Administrator接见,可

用户Win7接见。拒绝接见

②主机B安装Kb2871997补丁



Administrator接见,可

用户Win 7接见,拒绝接见


02 域环境

主机B 192.168.18.156 安装了Kb2871997补丁

用户test\User为主机B内陆治理员的通俗域用户

用户test\User接见,可

由安装KB2871997前后的对比发现kb2871997对于内陆Administrator(rid为500,操作系统只认rid不认用户名)和内陆治理员组的域用户是没有影响的。然则kb2871997补丁会删除除了wdigest ssp以外其他ssp的明文凭证

remote UAC 远程限制

01 工作组环境下

主机A win10

主机B win10 192.168.18.132

,

usdt收款平台

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

用户user为Rid非500的主机B内陆治理员账户

ipc 拒绝接见

Schtasks 拒绝接见

WMIC,PSEXEC,WINRM,等也是拒绝接见

缘故原由:

由于remote UAC默认开启的,盘算机的任何非 500内陆治理员帐户, 用户在远程盘算机上没有特权提升能力,而且用户无法执行治理义务。使用非500用户来远程接见皆为:拒绝接见

解决:

在注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem中添加一个键值LocalAccountTokenFilterPolicy。LocalAccountTokenFilterPolicy默认不存在,即为0(开启远程限制),添加并设置为1时将关闭远程限制

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

再次接见,可

schtasks ,可

若要限制500用户administrator的远程登录,那就是直接把FilterAdministratorToken设置为1,路径为:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem

reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v FilterAdministratorToken /t REG_DWORD /d 1 /f

再用Administrator毗邻就拒绝接见了

在域环境中,内陆治理员用户的域账户不受LocalAccountTokenFilterPolicy限制

02 域环境

主机A winsrv2012
主机B win10 192.168.18.149
用户test\admin为非rid500的主机B 内陆治理员的通俗域用户
用户test\uuser 为通俗域用户

test\admin接见,可

但非内陆治理员的通俗域用户照样会受LocalAccountTokenFilterPolicy限制

通俗域用户test\uuser接见,拒绝接见

域治理员用户则不受限制

由此可见remote UAC才是限制远程接见的主要缘故原由


上一篇 下一篇

猜你喜欢

网友评论

随机文章
热门文章
热评文章
热门标签