Mimikatz窃取凭证攻击
正常权限cmd情况下mimikatz是无法直接提权的,所以窃取密码更是不行的。
但管理员权限下的mimikatz是可以获取到主机登陆密码的。
PPL安全机制
在此之前,用户只需要使用SeDebugPrivilege令牌权限即可获取任意进程的所有访问权限;随后Windows8.1 在此进程保护的基础上,扩展引入了进程保护机制(Protected Process
Light),简称PPL机制,其能提供更加细粒度化的进程访问权限控制。对于安全研究来说,PPL机制最直观的感受就是即便使用管理员权限也无法 attach这个进程进行调试。
PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;PPL机制在内核函数NtOpenProcess进行实现,当我们访问进程时最终都会调用该函数;
PPL检查的关键逻辑在内核函数RtlTestProtectedAccess,其调用栈如下:
LSA进程保护
从Windows 8.1(和 Server 2012 R2)开始,Microsoft 引入了一项称为LSA保护的功能。此功能基于受保护进程轻量(PPL)技术,该技术是一种深度防御安全
