绕过PPL机制窃取凭证

Mimikatz窃取凭证攻击

正常权限cmd情况下mimikatz是无法直接提权的,所以窃取密码更是不行的。
绕过PPL机制窃取凭证_第1张图片
但管理员权限下的mimikatz是可以获取到主机登陆密码的。

PPL安全机制

在此之前,用户只需要使用SeDebugPrivilege令牌权限即可获取任意进程的所有访问权限;随后Windows8.1 在此进程保护的基础上,扩展引入了进程保护机制(Protected Process
Light),简称PPL机制,其能提供更加细粒度化的进程访问权限控制。对于安全研究来说,PPL机制最直观的感受就是即便使用管理员权限也无法 attach这个进程进行调试。

PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;

PPL检查的关键逻辑在内核函数RtlTestProtectedAccess,其调用栈如下:
绕过PPL机制窃取凭证_第2张图片

LSA进程保护

从Windows 8.1(和 Server 2012 R2)开始,Microsoft 引入了一项称为LSA保护的功能。此功能基于受保护进程轻量(PPL)技术,该技术是一种深度防御安全

你可能感兴趣的:(渗透测试,Windows逆向,LSA进程保护,PPL)