开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

如何将动态HKEY_USERS\SID中的子注册表项提取到reg文件中，并使用Powershell替换reg文件中的SID

动态HKEY_USERS\SID中的子注册表项提取到reg文件中，并使用Powershell替换reg文件中的SID的步骤如下：

首先，了解动态HKEY_USERS\SID和注册表项的概念：
- 动态HKEY_USERS\SID：在Windows操作系统中，每个用户都有一个唯一的安全标识符（SID），动态HKEY_USERS\SID是根据用户登录时生成的SID动态创建的注册表项。
- 注册表项：注册表是Windows操作系统中存储配置信息的一个重要组成部分，注册表项是注册表中的一个单元，类似于文件夹，包含键值对等数据。

提取动态HKEY_USERS\SID中的子注册表项到reg文件：
- 打开注册表编辑器：在Windows操作系统中，按下Win + R键，输入"regedit"并回车，打开注册表编辑器。
- 定位到动态HKEY_USERS\SID：在注册表编辑器中，展开HKEY_USERS，找到以"S-1-5-..."开头的SID，这些是动态创建的用户注册表项。
- 选择需要提取的子注册表项：在SID下找到需要提取的子注册表项，右键点击该项，选择"导出"，将其导出为.reg文件。
使用Powershell替换reg文件中的SID：
- 打开Powershell：在Windows操作系统中，按下Win + X键，选择"Windows PowerShell"或"Windows PowerShell(管理员)"。
- 使用Powershell替换SID：使用以下Powershell脚本将.reg文件中的SID替换为目标SID：
- 使用Powershell替换SID：使用以下Powershell脚本将.reg文件中的SID替换为目标SID：
- 将上述脚本中的$sourceFile替换为实际的.reg文件路径，$targetSID替换为目标SID，$outputFile替换为输出的.reg文件路径。
完成替换后的reg文件：
- 打开替换后的.reg文件，确认其中的SID已被替换为目标SID。
- 双击.reg文件，按照提示将其导入到注册表中。

这样，你就可以将动态HKEY_USERS\SID中的子注册表项提取到reg文件中，并使用Powershell替换reg文件中的SID了。

关于腾讯云相关产品和产品介绍链接地址，由于要求不能提及具体品牌商，建议在腾讯云官方网站上查找相关产品和文档，以获取更详细的信息。

相关搜索:批处理文件reg delete :如何删除名称中带有空格和反斜杠结尾的注册表项 powershell使用regex数组从一个文件中获取内容，并替换另一个文件中的内容常见中小型电商网站超级邮件群发机教程存储过程添加数据 c51数据存储类型存储过程修改数据存储过程抽取数据操作型数据存储系统常见的数据存储方式

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

内网渗透｜获取远程桌面连接记录与RDP凭据

image-20210524084553447 看也可以通过 PowerShell 命令行来实现，首先通过以下命令枚举指定注册表项下所有的的子项，即当前用户所连接过的所有的主机名： dir "Registry...image-20210524093321775 然后使用以下命令查询指定注册表项的注册表键值，即查看连接所使用的用户名： (Get-ItemProperty -Path "Registry::HKEY_CURRENT_USER...已登录用户的注册表信息会同步保存在 HKEY_USERS\ 目录下，要对应每个用户的 SID： ?...image-20210524085946713 也就是说，如果当前主机登录了两个用户，那么这两个用户的注册表信息都会保存在 HKEY_USERS\ 下。...和 CryptProtectMemory），并检索其中的凭据然后将凭据写入主机上的某个文件中。

7.5K3 0

内网渗透｜获取远程桌面连接记录与RDP凭据

如下图所示，每个注册表项保存连接的服务器地址，其中的键值 UsernameHint 对应登录用户名： image-20210524084553447 看也可以通过 PowerShell 命令行来实现...Server Client\Servers" -Name image-20210524093321775 然后使用以下命令查询指定注册表项的注册表键值，即查看连接所使用的用户名： (Get-ItemProperty...已登录用户的注册表信息会同步保存在 HKEY_USERS\ 目录下，要对应每个用户的 SID： image-20210524085841555 可以看到，当前系统登录三个用户，...image-20210524085946713 也就是说，如果当前主机登录了两个用户，那么这两个用户的注册表信息都会保存在 HKEY_USERS\ 下。...和 CryptProtectMemory），并检索其中的凭据然后将凭据写入主机上的某个文件中。

4.4K1 0

内网渗透测试：初探远程桌面的安全问题

如下图所示，每个注册表项保存连接的服务器地址，其中的键值UsernameHint对应登录用户名：看也可以通过 PowerShell 命令行来实现，首先通过以下命令枚举指定注册表项下所有的的子项，即当前用户所连接过的所有的主机名...已登录用户的注册表信息会同步保存在HKEY_USERS\目录下，要对应每个用户的 SID：可以看到，当前系统登录三个用户，分别有三个子项。...也就是说，如果当前主机登录了两个用户，那么这两个用户的注册表信息都会保存在HKEY_USERS\下。...“000003EA”：然后将000001F4的F值粘贴到000003EA的F值中，点击确定：然后从注册表中右键导出子项000003EA和 whoami ，并使用net user whoami /del...最后，再将刚才导出的两个后缀为 .reg 的注册表项导入注册表中：这样我们的隐藏账户 whoami 就创建好了。

3.7K4 0

Windows支持诊断工具(MSDT)远程代码执行漏洞(CVE-2022-30190)分析复现修复

URI执行任意PowerShell代码，当恶意文件保存为RTF格式时，无需受害者打开文件，即可通过资源管理器中的预览窗格在目标系统上执行任意代码。...下的mmc.exe，这里是可以成功打开的那么这个payload肯定是没有问题的，那么问题就出在我们上线cs的exe上，这里笔者尝试使用x86的payload、使用powershell加载都以失败告终...，最后找到了解决方法，使用cs生成的shellcode自己通过VirtualAlloc申请内存并编译即可上线然后编写代码实现将shellcode加载到内存空间，这里就用最简单的VirtualAlloc...HKEY_USERS\$USER_SID\SOFTWARE\Microsoft\Office\$OFFICE_VERSION\Common\Internet\Server Cache 修复禁用MSDT...URL协议 1、以管理员身份运行命令提示符 2、备份注册表项后，执行命令：reg export HKEY_CLASSES_ROOT\ms-msdt filename 3、再执行命令：reg delete

1.9K2 0

Windows之注册表介绍与使用安全

注册表包含了每个计算机用户的配置文件，以及有关系统硬件、已安装的程序和属性设置的信息。可以使用注册表编辑器检查并修改注册表。...在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。...在这个根键中保存了系统在运行时的动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中。 Win NT/2000/XP/2003: 无此根键。...1.4.2 导入和导出注册表项通常情况下，通过双击注册表文件(*.reg)也可将注册表文件中的内容导入到注册表从而修改注册表。...在“数值数据”框中，键入该值的新数据，然后单击“确定”。 1.4.3.5 删除注册表项或值单击要删除的注册表项或值项。在“编辑”菜单上，单击“删除”。注意:可以从注册表中删除注册表项和值。

1.6K2 0

常规安全检查阶段 | Windows 应急响应

，甚至官方的 autoruns 也发现不了 // 其中 {SID} 替换成用户的 SID 值 HKEY_USERS\{SID}\SOFTWARE\Microsoft\Windows\CurrentVersion...\.NET CLR Data\Performance 排查思路就是把服务的所有注册表项中包含 Performance 子项的，获取 Library 键的值，验证文件签名通过 powershell...在该注册表项中，每个子项对应一个已知的DLL文件，并且以DLL文件的名称作为子项的名称。...他们可以修改注册表项或替换系统文件，以确保每次应用程序启动时都会加载恶意的Shim代码。...当给定的可执行文件被启动时，操作系统会检查注册表中的 IFEO 设置。如果找到了对应的注册表项，系统会自动启动所配置的调试器程序，并将目标可执行文件作为参数传递给调试器。

1K1 0

Windows 权限提升

，替换服务文件造成提权注以：一种是用户对服务有权限，一种是对服务所在的目录有权限。...更多的Permissions和PermissionSet参数请阅读官方文档。替换服务的二进制文件 Get-ModifiableServiceFile #枚举所有服务，并返回脆弱的服务文件。...' #用原始可执行文件还原被替换的服务二进制文件 ?.../d 0 /f#想一行命令完成的可以使用 /f 和 & 命令链接字符笔者遇到过修改之后查询值不生效的，推荐直接注册表中修改或者组策略配置开启之后对应的注册表键值为1： reg query HKCU...后面的过程自然是替换对应的二进制文件，笔者多次测试，发现均无法正常启动，无奈只能放弃，这里记录我使用的payload。

3.6K2 0

权限维持分析及防御

WMI中，达到所谓的无文件。...DLL文件，在系统启动时将其加载到lsass.exe进程中，就能够获取lsass.exe进程中的明文密码，这样即使用户更改的密码并重新登陆，依然可以获取（1）方法一是使用mimikatz将伪造的SSP...\Security Packages注册表项是否含有可疑的DLL文件检查C:\windows\system32\目录下是否存在可疑的文件第三方工具检查LSA中是否有可疑DLL 3、SID History...History域后门的特点：在控制域控制器后，可以通过注入SID History属性完成持久化任务拥有高权限SID的用户可以使用PowerShell远程导出域控制器的ntds.dll 如果不再需要通过...防范：需要对PowerShell进行严格的监视，并启用约束语言模式结语一些经典的权限维持方法 ---- 红客突击队于2019年由队长k龙牵头，联合国内多位顶尖高校研究生成立。

1K1 0

安全攻防 | Windows权限维持方法总结！

/s test.reg regedit /s 1.reg 6.此时在用户组已经看不到test$用户，只能在注册表中能看到。...当一个可执行程序位于IFEO的控制中时，它的内存分配则根据该程序的参数来设定，而WindowsN T架构的系统能通过这个注册表项使用与可执行程序文件名匹配的项目作为程序载入时的控制依据，最终得以设定一个程序的堆管理机制和一些辅助机制等...这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件，并通过scrnsave.scr实用程序执行。...14 DLL劫持 DLL(Dynamic Link Library)文件为动态链接库文件，又称”应用程序拓展”，是软件文件类型。...在Windows中，许多应用程序并不是一个完整的可执行文件，它们被分割成一些相对独立的动态链接库，即DLL文件，放置于系统中。当我们执行某一个程序时，相应的DLL文件就会被调用。

1.2K1 0

横向移动与域控权限维持方法总汇

这也是RID500账户能PTH的原因以及此注册表项，可以关闭UAC的远程限制，即远程连接时UAC会失效，这样的话只要是administrators组的用户都能PTH辣。...system32文件，然后修改注册表，使 hklm\system\currentcontrolset\control\lsa的 notification packages表项包括我们的恶意dll文件，具体命令行操作如下...长期性注入（重启不失效）把 mimikatz中的mimilib.dll放到系统的C:\Windows\System32\ 目录下，并将 mimilib.dll 添加到注册表中，使用这种方法，即使系统重启...它包括域中所有用户的密码哈希值，为了进一步保护密码哈希值，使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。”...可以用刚刚提到的VSS方法获取，也可以直接用以下命令从注册表中拉取. reg save hklm\system c:\system.hive Impacket impacket框架集成了许多好玩的东西，

1.5K2 0

浅谈命令混淆

/axgg.txt axgg.txt （2）环境变量当我们拿到一台机器，可以先set看看有哪些环境变量就这样，%comspec:~3,1%hoa%comspec:~21,1%i，用我们环境变量的字母替换了...whoami，然后打印（4）利用powershell 利用powershell的base64编码当然，还可以fuzzing一下低版本的powershell powershell -version...3/2/1 利用windows的api Get-WmiObject -Class Win32_UserAccount //怎么绕，也可以用前面的特殊符号和环境变量利用注册表 dir "Registry...::HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" -Name 既然说到了powershell，这儿就简单提一提...name,sid //查看所有用户的sid cacls c:\

6281 0

Windows系统安全|Windows中获取用户密码

并运行，打开 SAM 文件，解锁并修改密码把 SAM 文件复制到原来的电脑上，覆盖原文件注意：这样只能修改密码，并不能知道密码的明文方法二：利用Copy-VSS.ps1脚本利用nishang框架内的...Hash 需要管理员权限执行，通过reg的save选项将注册表中的SAM、System文件导出到本地磁盘。...reg save hklm\sam sam.hive reg save hklm\system system.hive 使用mimikatz从sam.hive和system.hive文件中获得NTLM...在日常网络维护中，通过查看注册表项Wdigest，可以判断Wdigest功能的状态。如果该项的值为1，用户下次登录时，攻击者就能使用工具获取明文密码。...仅可以使用SID=500的用户进行哈希传递攻击，而SID=500的用户默认为administrator。所以，主机管理员最好也禁用administrator用户。

2.5K2 1

获取已控机器本地保存的RDP密码

FTP管理账户密码共享资源文件夹的访问密码无线网络帐户密钥和密码远程桌面身份凭证 EFS EAP/TLS 和 802.1x的身份凭证 Credential Manager中的数据以及各种调用了CryptProtectData...Key file，位于%WINDIR%\System32\Microsoft\Protect\S-1-5-18\User Master Key file的同级目录还有一个Preferred文件，显示当前系统正在使用的...第二、rdp密码存放位置我们可以使用下面的方法得到所有该主机链接过的机器，即查询注册表 reg query "HKEY_CURRENT_USER\Software\Microsoft\Terminal...Server Client\Servers" /s 高版本的系统也可以使用下面的powershell脚本 <# .SYNOPSIS This script will list the logged-in...且可以使用下面的命令查看获取到的所有的masterkey： dpapi::cache ? 一键化操作： ?

2.8K2 0

windows系统安全|Windows渗透基础大全

) Windows中加载并执行PowerShell脚本本地加载并执行PowerShell脚本远程下载并执行PowerShell脚本 Windows中的批处理文件 Windows中快捷键操作 Windows...中运行窗口的命令 Windows中的注册表使用reg保存注册表中的sam、system、security文件 Windows中的端口 Windows中的进程监听端口netstat Windows反弹...更多的关于PowerShell的用法：PowerShell使用浅析本地加载并执行PowerShell脚本在cmd当前目录下有PowerView.ps1脚本，并执行其中的Get-Netdomain模块...在这个根键中保存了本地计算机硬件配置数据，此根键下的子关键字包括在SYSTEM.DAT中，用来提供HKEY_LOCAL_MACHINE所需的信息，或者在远程计算机中可访问的一组键中 HKEY_USERS...使用reg保存注册表中的sam、system、security文件以下命令需要管理员权限执行 reg save hklm\sam c:\users\mi\desktop\sam reg save hklm

1.8K1 0

BypassUAC技术总结

，dll加载也遵循着Know DLLs注册表项的机制：Know DLLs注册表项指定的DLL是已经被操作系统加载过后的DLL，不会被应用程序搜索并加载。...（5） WinSxS DLL替换：将目标DLL相关的WinSxS文件夹中的恶意DLL替换为合法的DLL。...在net4.0以前，若检查通过，会马上去查找COR_PROFILER指定的注册表项，找到其dll路径并加载 net4.0后，会先查找COR_PROFILER_PATH是否指定dll文件路径，若没有再去查找...COR_PROFILER指定的注册表项，找到其dll路径并加载。...这里拿事件查看器举例操作-》打开保存的目录-》文件目录路径处输入powershell-》弹出高权限powershell 以此内推，还有很多相似的管理工具可以这样利用注册表劫持 Fodhelper.exe

8783 0

Windows 系统账户隐藏

这两个项里都是存放了用户 test$ 的信息。在这两个项上单击右键，执行导出命令，将这两个项的值分别导出成扩展名为 .reg 的注册表文件。...0x007 隐藏用户配置文件展开 [SAM\Domains\Account\Users\Users] 注册表项中，找到 administrator 用户的 RID 值 1f4，展开对应的 000001F4...下面将这个键值的数据全部复制，并粘贴到 000003EB 项的 F 键值中，也就是将 administrator 用户的 SID 赋给了 test$ 这样在操作系统内部，实际上就把 test 当做是 administrator...，test 成了 administrator 的影子账户，与其使用同一个用户配置文件，test 0x008 删除隐藏用户使用普通的账户删除命令是无法删除隐藏账户的，提示用户不属于此组只能将删除注册表...[HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users]下对应帐户的键值(共有两处)，也就是刚刚创建 test$ 所产生的那两个注册表文件删除完这两个注册表项后

3K4 0

Windows之注册表介绍与使用安全

注册表包含了每个计算机用户的配置文件，以及有关系统硬件、已安装的程序和属性设置的信息。可以使用注册表编辑器检查并修改注册表。...在这个根键中保存了本地计算机硬件配置数据,此根键下的子关键字包括在SYSTEM.DAT中,用来提供HKEY_LOCAL_MACHINE所需的信息,或者在远程计算机中可访问的一组键中。...在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预配置信息都存储在HKEY_USERS根键中。HKEY_USERS是远程计算机中访问的根键之一。...在这个根键中保存了系统在运行时的动态数据，此数据在每次显示时都是变化的，因此，此根键下的信息没有放在注册表中。 Win NT/2000/XP/2003: 无此根键。...1.4.2 导入和导出注册表项通常情况下，通过双击注册表文件(*.reg)也可将注册表文件中的内容导入到注册表从而修改注册表。

1.8K5 3

持续控制技术和策略（A View of Persistence）

当遇到一些操作不行的时候就要考虑权限问题，uac策略等！在这篇文章中，我会介绍一些基本的持久性策略和技术！通常，触发C2通道的持久性机制存在于以下级别之一：中等强制级别，在标准用户的上下文中。...创建一个REG_SZ值字符串值在HKCU\Software\Microsoft\Windows （其他的也行） ?...name Backdoor data C:\users\CreaTe\AppData\Local\Temp\backdoor.exe 启动: 在用户启动文件夹中创建批处理脚本 gc--Get-Content...配置文件: ?...如果将它们放在 Administrators组中太明显，请使用其他特权组，例如Remote Desktop Users，Remote Management Users或Backup Operators

5081 0

Windows提权方法汇总

Windows下服务的权限通常是SYSTEM。如果我们能够替换服务的启动程序为我们的恶意程序（如反弹shell），即相当于获得了SYSTEM权限，达到了提权的目的。...易受攻击的服务（Vulnerable Services ）同样看脸且被动这个攻击方法大致分两类 1.替换服务的二进制文件。...此时如果我们执行一个恶意msi程序，即可达到提权目的同时需要注意的一点是，这个注册表项不一定总是存在的。...（比如我的实验机我们可以通过reg query来验证这两条注册表项的情况 reg query HKCU\SOFTWARE\Policies\Microsoft\Windows\Installer /v...2.WPAD劫持 NBNS欺骗后我们就可以劫持WPAD的域名，把自己伪造称WPAD并返回自定义的PAC文件。意味着我们可以把本地发出的所有流量重定向。

1.3K3 0

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

检查 regedit.exe 中的注册表后，它们的排列方式似乎与文件系统类似，每个 hive 都有许多键，键可以有多个子键，键或子键用来存储值。注册表项由名称和值组成，成一对。...进入之前需要了解的两件重要事情：首先，WMI 使用常量数值来标识注册表中的不同配置单元。...如果不知道绝对路径，可以通过简单地替换上面命令中的路径来浏览注册表。...当然也可以使用 Powershell 的 select -ExpandProperty 选项参数来扩展输出中返回的属性值。...注意：注册表项下的现有子项也可以使用上述方法进行更新。

1.1K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭