绕过PPL机制窃取凭证

Mimikatz窃取凭证攻击

正常权限cmd情况下mimikatz是无法直接提权的，所以窃取密码更是不行的。

但管理员权限下的mimikatz是可以获取到主机登陆密码的。

PPL安全机制

在此之前，用户只需要使用SeDebugPrivilege令牌权限即可获取任意进程的所有访问权限；随后Windows8.1 在此进程保护的基础上，扩展引入了进程保护机制(Protected Process
Light)，简称PPL机制，其能提供更加细粒度化的进程访问权限控制。对于安全研究来说，PPL机制最直观的感受就是即便使用管理员权限也无法 attach这个进程进行调试。

PPL机制在内核函数NtOpenProcess进行实现，当我们访问进程时最终都会调用该函数；PPL机制在内核函数NtOpenProcess进行实现，当我们访问进程时最终都会调用该函数；

PPL检查的关键逻辑在内核函数RtlTestProtectedAccess，其调用栈如下：

LSA进程保护

从Windows 8.1（和 Server 2012 R2）开始，Microsoft 引入了一项称为LSA保护的功能。此功能基于受保护进程轻量(PPL)技术，该技术是一种深度防御安全