攻击与防御的双刃剑 探寻操作系统凭据转储的两面性
发布时间:2022-07-20 09:42:21 所属栏目:安全 来源:互联网
导读:在这篇文章中,我们将介绍Windows凭据的巧妙用处。具体而言,我们将重点介绍一种名为操作系统凭据转储的技术。本质上,如果威胁已经在我们的环境中实现了横向移动,那么其背后的威胁执行者很有可能已经执行了某种类型的凭据转储,以允许它们在系统之间跳转。
|
在这篇文章中,我们将介绍Windows凭据的巧妙用处。具体而言,我们将重点介绍一种名为“操作系统凭据转储”的技术。本质上,如果威胁已经在我们的环境中实现了横向移动,那么其背后的威胁执行者很有可能已经执行了某种类型的凭据转储,以允许它们在系统之间跳转。因此,掌握如何检测并防范这类技术就显得至关重要。 1、安全帐户管理器(SAM)数据库 SAM数据库是所有Windows系统上都存在的文件。该文件包含所有创建的帐户,以及在Windows操作系统(XP、Vista、Win7、Win8.1、Win10)上存在的所有内置帐户。在这里,密码是以哈希值(NT密码哈希)形式存储的。 2、其他文件 我们也可以在各种文件中找到密码,其中包括配置文件和用户创建的文件(通常为纯文本)。某些日志文件可能包含凭据信息,例如安装程序日志,有时还可以在崩溃报告中找到它们。 3、缓存的凭据 域凭据被存储在注册表中,以允许用户在未连接到域时能够登录其系统。Windows系统会缓存最后10个登录哈希,默认情况下一些位置最多可以存储25个。这个数字可以在注册表中配置。 4、本地安全授权机构(LSA) LSA Secrets存储在注册表中,并允许服务以用户权限运行。这些服务包括VPN、计划任务、自动登录、备份服务器帐户、IIS网站等。它们以加密的形式保存在“Security/Policy/Secrets”注册表中。 5、本地安全机构子系统服务进程(LSASS) 在本地或域中登录Windows计算机时,凭据将会存储在LSASS进程的内存中。这主要是用于允许用户访问其有权访问的网络上的其他资源,而不必再重新进行身份验证。存储的格式可以是纯文本、NT和LM哈希以及Kerberos Ticket。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号