用于删除旧缓存凭据的Powershell脚本(Error1168) - 腾讯云开发者社区

文章/答案/技术大牛

发布

凭据收集总结

，与用户在成功登录后将缓存的域凭据存储在系统本地，缓存的凭据不会过期，以防止DC无法通信，任然能够登录机器，另外mscash hash 无法用于PTH。...Secretsdump impacket 中提供了secrestdump的脚本，该脚本可允许转储存储在注册表中的sam、SECURITY、SYSTEM中的所有凭据。...的文件，分为两种：注：目录下有多个Master key File ,每隔90天系统生成新的Master key (旧的不会删除)，目录下的Preferred记录了最后一个Master key file...，替换Preferred，使旧的Master Key File被复用。...#相关票据可打开控制面板查看，也可以使用以下命令 #显示所有已存储的用户名和票据 #添加用户名和密码为凭据 #不指定密码添加凭据 #删除远程访问存储的凭据 #删除凭据 #注：该命令修改的是Windows

7.3K3 0

内网渗透 | 了解和防御Mimikatz抓取密码的原理

这里使用powershell脚本运行脚本，可以看到在没有修改的情况下是10s刷新一次 powershell.exe -ExecutionPolicy Bypass -File test.ps1 ?...Credntial Caching即凭证缓存。HTTP Server API 仅在用于 NTLM 身份验证的 Keep-Alive (KA) 连接上缓存凭据。...在这种情况下，HTTP Server API 将基于缓存凭据的令牌发送到应用程序。代理发送的请求的凭据不会被缓存。...当凭据缓存被禁用时，HTTP Server API 会丢弃缓存的凭据并为每个请求执行身份验证 Domain Cached Credentials简称DDC，也叫mscache。...其中1、2、5三点在之前都已经提到过这里就不继续延伸了，这里主要说一下3、4两点首先是第3点，在注销后删除LSASS中的凭据，在更新之前，只要用户登录系统，Windows就会在lsass中缓存用户的凭据

8K1 0

您找到你想要的搜索结果了吗？

是的

没有找到

window下抓取密码总结

，powershell默认的执行策略是Restricted，这个Restricted是不允许运行任何脚本的。...我们需要修改策略组，在PowerShell下执行Set-ExecutionPolicy remotesigned,将策略值改为remotesigned,这样我们就可以运行脚本: ?...三、Quarks PwDump抓取用户密码: Quarks PwDump 是一款开放源代码的Windows用户凭据提取工具，它可以抓取windows平台下多种类型的用户凭据，包括：本地帐户、域帐户、缓存的域帐户和...该工具通过python开发，易读、易维护，依赖的python2版本,这款工具不仅能抓取胡勇密码，还可以抓取浏览器中的缓存的密码、SVN密码、wifi密码、邮箱密码等功能，这款工具不经适用于windows...-d 从登录会话中删除NTLM凭据参数:； -a 使用地址参数: ； -f 强制使用安全模式 -g 生成LM和NT的哈希参数 -f 强制使用安全模式；希参数；

2.6K4 0

域安全篇：寻找SYSVOL里的密码和攻击GPP

它提供了有效的方法，利用显式凭据结合组策略部署了计划任务，一次性批量更改了电脑的本地管理的密码，也许这就是最受欢迎的利用场景吧。 GPP中存储的凭据然而现在有个问题，凭据数据应该怎样保护？...下面的截图，则展示了一个简单的PowerShell函数解密GPP密码的命令（从上述的XML文件里找到的）。...在2012年5月，Chris Campbell又写了篇文章《GPP Password Retrieval with PowerShell》，并在里面提出了攻击该密码漏洞的第一段PowerShell代码。...在2012年6月，Rewt dance写了一篇文《a GPP exploitation expanded reference》，而现在链接已经挂了，这里提供一下Google缓存。...GPP问题的缓解在每台用于管理GPO的电脑上安装KB2962486补丁，这样会避免新的凭据放进GPP里。删除现有的GPP里包含密码的xml文件。

2.5K7 0

Windows: 使用PowerShell管理Hyper-V虚拟机

使用 Invoke-Command 运行脚本或命令配合使用 PowerShell Direct 和 Invoke-Command 非常适合需要在虚拟机上运行一个命令或一个脚本但在这一点之外无需继续与虚拟机进行交互的情况...使用 New-PSSession 和 Copy-Item 复制文件注意： PowerShell Direct 仅支持 Windows 版本 14280 及更高版本中的持久性会话在编写用于跨一个或多个远程计算机协调操作的脚本时...一经创建后，持久性会话会一直存在于后台，直到你决定将其删除。这意味着我们可以使用 Invoke-Command 或 Enter-PSSession 反复引用同一个会话而无需传递凭据。...删除虚拟机如果您需要删除虚拟机，可以使用以下命令： powershell Remove-VM -Name "TestVM" -Force 该命令将删除名为“TestVM”的虚拟机，包括其配置文件和虚拟硬盘...完整的虚拟机配置示例以下是一个完整的PowerShell脚本示例，展示如何创建虚拟机、配置处理器和内存、设置ISO安装源、禁用安全引导以及设置光盘优先引导, 启动： powershell New-VM

2.1K1 0

使用 Ansible 批量管理 Windows

Ansible需要PowerShell 3.0版和.NET Framework 4.0或更高版本才能在较旧的操作系统（如Server 2008和Windows 7）上运行。基本OS镜像不符合此要求。...您可以使用Upgrade-PowerShell.ps1脚本来更新这些脚本。...Windows Server 2008只能安装PowerShell 3.0; 指定较新的版本将导致脚本失败。 username和password参数都是存储在注册表中的纯文本。...确保在脚本完成后运行清理命令，以确保主机上仍未存储凭据。 WinRM内存补丁在PowerShell v3.0上运行时，WinRM服务存在一个错误，它限制了WinRM可用的内存量。...这些补丁应作为系统引导或映像过程的一部分安装。Install-WMF3Hotfix.ps1脚本可用于在受影响的主机上安装此修补程序。

4.7K3 0

如何使用 PowerShell 钓鱼获取用户密码

攻击者将滥用 Windows 和 PowerShell 中内置的功能来调用凭据弹出窗口来获取用户密码。...CredPhish 是一个 PowerShell 脚本，旨在调用凭据提示和泄露密码。...默认情况下，CredPhish 将使用 Resolve-DnsName（PowerShell 内置的 DNS 解析器）来窃取凭据。...$ delayPrompts = 2 # 提示之间的秒数 $validateCredentials = $ false # 如果凭据有效，则中断 $maxTries 并立即删除...必须是 2-60 之间的偶数，否则查询会中断要拦截使用 DNS 过滤功能发送的凭据，请在 Kali 中执行 dns_server.py脚本。

6.8K1 0

Ansible 客户端需求–设置Windows主机

您可以使用Upgrade-PowerShell.ps1脚本来更新它们。...注意在 username和 password参数都存储在注册表中的纯文本。确保脚本完成后运行清除命令，以确保主机上仍没有存储凭据。...这些修补程序应作为系统引导或映像过程的一部分进行安装。脚本Install-WMF3Hotfix.ps1可用于在受影响的主机上安装此修补程序。...注意 ConfigureRemotingForAnsible.ps1脚本仅用于培训和开发目的，不应在生产环境中使用，因为它可以启用Basic本质上不安全的设置（如身份验证）。...PSModulePathPSModulePath 从PSModulePath环境变量中删除UNC路径，或者使用支持凭据委派的身份验证选项，例如credssp或kerberos启用了凭据委派有关此问题的更多信息

11.4K4 1

黑客在 Log4j 攻击中使用新的 PowerShell 后门

用于多项任务的模块化后门对 CVE-2021-44228 的利用会导致运行带有 base64 编码负载的 PowerShell 命令，最终从参与者控制的 Amazon S3 存储桶中获取“CharmPower...基本系统枚举——该脚本收集 Windows 操作系统版本、计算机名称以及 $APPDATA 路径中的文件 Ni.txt 的内容；该文件可能由主模块下载的不同模块创建和填充。...C2发送的附加模块如下：应用程序– 枚举卸载注册表值并使用“wmic”命令确定受感染系统上安装了哪些应用程序。屏幕截图- 根据指定的频率捕获屏幕截图并使用硬编码凭据将它们上传到 FTP 服务器。...命令执行- 具有 Invoke-Expression、cmd 和 PowerShell 选项的远程命令执行模块。清理- 删除受感染系统中留下的所有痕迹的模块，例如注册表和启动文件夹条目、文件和进程。...与旧后门的相似之处 Check Point 注意到“CharmPower”与 APT35 过去使用的 Android 间谍软件之间的相似之处，包括实现相同的日志记录功能并使用相同的格式和语法。

7.5K1 0

Mimikatz的18种免杀姿势及防御策略

本文虽然是针对Mimiktaz进行免杀，但更多的是想研究学习一下比较通用的exe的免杀方式，比如文中介绍的exe通用加载器、powershell执行exe、白名单加载exe等有几种方法可以适用于任意的exe...3、powershell免杀因为mimikatz有powershell版或者使用powershell可以加载，所以对powershell的脚本免杀也是一种方式，本文中的方法2-方法6都是对powershell...删除上图的administrators组，这样管理员也没了debug权限。注销后再执行mimiktaz，获取debug权限时发现报错。 ?...方法4-受限制的管理模式对于 Windows 2012 R2 和 Windows 8.1 之前的旧操作系统，需要先安装补丁KB2871997。...然后需要在域中强制执行“对远程服务器的凭据限制委派”策略,以确保所有出站RDP会话都使用“RestrictedAdmin”模式,因此才不会泄露凭据。

3.6K2 0

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

“Powershell”备受攻击者青睐 PowerShell是Windows操作系统中包含的功能强大的交互式命令行界面和脚本环境。...除了PowerShell脚本的默认主机之外，脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为，观察模块负载以及进行分析以提供其他上下文，从而为检测提供支持。 2....这些是预防策略，但也可用于检测之用，因为尝试执行未经授权的脚本应产生更高质量的报警信号。 3....如果找到匹配项，则将采取措施（删除、隔离、警报等）。混淆的目的是绕过这些基于签名的检测系统，并增加对恶意软件样本进行取证分析的难度。...除了将转储凭据用于出售和初始访问外，凭据是漏洞利用后的一个重要部分。一旦攻击者获得对环境的初始访问权限，通常需要某种级别的特权访问权限才能实现攻击活动中的进一步目标。

1.9K1 0

红队技巧：仿冒Windows登录

PowerShell Empire PowerShell Empire的此模块将在目标系统上提示一个对话框，要求像我们之前所做的那样获得凭据。...Koadic 可以在Koadic中找到与PowerShell Empire中的模块类似的模块。...PowerShell：Invoke-CredentialsPhish.ps1 有一个可以在PowerShell上运行的脚本，该脚本会创建伪造的登录提示，供用户输入凭据。...因此，用户输入凭据后，它们将显示在屏幕上，如下图所示： ? PowerShell：Invoke-LoginPrompt.ps1 同样，Matt Nelson还开发了另一个脚本。...结论这些是我们可以用来转储目标系统凭据的各种方法。根据情况，应使用适当的方法来转储凭据。PowerShell方法最好用于验证凭据，因为在输入正确的凭据之前提示不会关闭。

2K1 0

朝鲜黑客组织Kimsuky战术披露，曝迄今未记录的恶意组件

目前，Kimsuky已与多达三种迄今未记录的恶意软件相关联，其中包括一个信息窃取程序，一个配备了恶意软件反分析功能的工具，以及一个新的服务器基础设施（与旧的间谍框架有很大的重叠）。...其中，BabyShark是基于Visual Basic脚本（VBS）的恶意软件，往往通过包含链接或附件的电子邮件传递。...特权提升在特权提升方面，Kimsuky使用的是众所周知的方法：将脚本放入Startup文件夹，创建和运行新服务，更改默认文件关联以及注入恶意代码。...防御规避包括禁用安全工具，删除文件以及使用Metasploit等。凭证访问 Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录器中收集相关凭证。 ?...除此之外，KGH_SPY后门还可以从C2服务器下载辅助负载，通过cmd.exe或PowerShell执行任意命令，甚至可以从Web浏览器，Windows凭据管理器，WINSCP和邮件客户端中获取凭据。

9823 0

Windows凭证钓鱼方式面面观

的这种行为可以获得windows用户的凭据，这些凭据可以在RedTeam测试期间用于横向移动，当已经在系统上实现了初始立足点并且不能通过替代方法发现用户的凭证时，这种技术还算是一种比较有用的。.../Dviros/CredsLeaker )模仿windows安全提示，它要求web服务器存储必要的文件，这些文件将读取凭据并将它们写入文本文件和powershell中以调用http请求，powershell...命令可以直接从bat文件中执行： Step 1：搭建一个web服务用于托管powershell: Step 2:修改脚本中的URL地址 Step 3：上传run.bat文件到目标服务器并执行 run.bat...://github.com/enigma0x3/Invoke-LoginPrompt )脚本，该脚本将生成一个输入提示，能够检查凭据是否有效，否则提示不会关闭，该脚本可以从远程位置执行，凭据将显示在控制台中...')); Invoke-LoginPrompt Nishang framework还包含一个powershell脚本，可以用来创建一个假的输入提示，以便获取windows凭据: 执行效果如下：账户密码在控制端被记录

9181 0

Windows痕迹清除|内网渗透学习(十三)

: 用于检索有关时间日志和发布者的信息, 安装和卸载事件清单, 运行查询, 导出, 存档, 清除日志 wevtutil cl security #清除安全日志 wevtutil cl system....html meterpreter 清理日志删除渗透过程中使用的工具删除之前添加的账号: 执行CMD命令: net user admin /del 删除应用程序, 系统和安全日志: clearrev...clearrev是meterpreter提供的命令查看时间日志 run event_manager -i 删除事件日志 run event_manager -c 停止日志记录利用脚本让日志功能失效..., 无法记录日志第一种方法就是通过powershell脚本工具直接将日志记录的进程给kill掉, 从而使得日志记录失效 powershell.exe "IEX(new-object system.net.webclient..., 日志中记录的事件如下: 读取身份凭据判断是否为管理员创建新用户启用新用户重置新用户账户密码 2022_10_02 14:30

1.3K2 1

混搭新式：社工+powershell，轻松畅游主机

在渗透测试过程有时候会需要从已经被入侵的主机拿到你想要的凭据。...但如果他们一两天之内没有登陆Web应用，你可以使用以下的两种方法碰碰运气。你需要做的第一件事是，通过社工的方式进入他们的电脑。最好是使用一个powershell脚本建立一个反向连接。...你可以自己编写powershell脚本，但在SET（社会工程学工具包）中已经提供了，所以在这里我们使用这个工具。使用如下步骤运行SET。 1、打开终端运行setoolkit ?...6、SET会把生成的powershell脚本存放在/root/.set/reports/powershell/下。...删除掉无用的js代码。 ? 修改cred.html文件如下。 ? 这样当受害者向假的login.yahoo.com输入凭证，然后重定向到https://www.yahoo.com。

1.3K6 0

dotnet-install 脚本参考

名称 dotnet-install.ps1| dotnet-install.sh- 用于安装 .NET SDK 和共享运行时的脚本。...描述这些dotnet-install脚本执行 .NET SDK 的非管理员安装，其中包括 .NET CLI 和共享运行时。有两个脚本：适用于 Windows 的 PowerShell 脚本。...--help 打印出脚本的帮助。仅适用于 bash 脚本。对于 PowerShell，请使用Get-Help ./dotnet-install.ps1....ProxyUseDefaultCredentials 如果设置，安装程序在使用代理地址时使用当前用户的凭据。（仅对 Windows 有效。）...该参数是可选的，仅应在需要覆盖脚本检测到的操作系统时使用。 -SharedRuntime|--shared-runtime 笔记此参数已过时，可能会在脚本的未来版本中删除。

2.1K2 0

【前缀“选区-” bat脚本】

我们可以提供一个更完整的批处理脚本和PowerShell脚本。确保它们都能正确处理带有前缀“选区-”的文件名。...:: 输出旧文件名和新文件名用于调试 echo Old Name: "%%f" echo New Name: "!newname!"...运行批处理脚本：将remove_prefix.bat放在需要批量删除前缀的文件所在的目录。双击运行remove_prefix.bat。...运行PowerShell脚本：将remove_prefix.ps1放在需要批量删除前缀的文件所在的目录。右键单击脚本文件并选择“使用PowerShell运行”。...\remove_prefix.ps1 验证：运行脚本后，查看输出以确保所有文件名都正确处理。确认每个文件的旧文件名和新文件名是否正确。

6681 0

Microsoft 本地管理员密码解决方案 (LAPS)

非常有用，如果您将本地管理员凭据传递给具有相同本地凭据的另一台计算机，则授予访问权限，就像您使用目标系统凭据登录一样。将管理员凭据转储到一个以获取所有管理员！...• 当旧密码过期或需要在过期前更改时生成新密码。 • 根据密码策略验证新密码。...• 使用任何选择的Active Directory 管理工具；提供了自定义工具，例如 Windows PowerShell。 • 防止计算机帐户被删除。 • 以最小的占用空间轻松实施解决方案。...可以配置 PowerShell 脚本，在用户注销时（或在其他事件期间）清除 ms-Mcs-AdmPwdExpirationTime。VDI 解决方案可以提供此时运行脚本的能力。...Fat 客户端 UI 和 PowerShell 模块只需要安装在将管理 LAPS 的系统上，其中包括那些将访问密码的系统。 GPO 组件用于部署和管理 LAPS GPO。

5.3K1 0

渗透测试神器CobaltStrike使用教程

CobaltStrike官网环境：Java 设备：Windows或Linux均可（推荐服务端使用Linux服务器）目录文件和功能介绍： agscript：扩展应用的脚本 c2lint...：用于客户端和服务端认证的文件（建议自己有时间可以查看一下cs的源码） cobaltstrike.store：密钥证书存放文件 data：用于保存当前TeamServer的数据 ... Executable：生成32位或64位的exe、dll可执行文件 5.Windows Executable(S)：用于生成一个exe可执行文件，包含Beacon的完整payload，与4相比，该模块额外提供了代理功能...并且支持Powershell脚本，用于将Stageless Payload注入内存。复制 4.远控进行vnc，文件管理，进程查看等一系列操作。...执行命令 powershell 通过powershell.exe执行命令 powershell-import 导入powershell脚本

5.9K2 0

点击加载更多

凭据收集总结

内网渗透 | 了解和防御Mimikatz抓取密码的原理

window下抓取密码总结

域安全篇：寻找SYSVOL里的密码和攻击GPP

Windows: 使用PowerShell管理Hyper-V虚拟机

使用 Ansible 批量管理 Windows

如何使用 PowerShell 钓鱼获取用户密码

Ansible 客户端需求–设置Windows主机

黑客在 Log4j 攻击中使用新的 PowerShell 后门

Mimikatz的18种免杀姿势及防御策略

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

红队技巧：仿冒Windows登录

朝鲜黑客组织Kimsuky战术披露，曝迄今未记录的恶意组件

Windows凭证钓鱼方式面面观

Windows痕迹清除|内网渗透学习(十三)

混搭新式：社工+powershell，轻松畅游主机

dotnet-install 脚本参考

【前缀“选区-” bat脚本】

Microsoft 本地管理员密码解决方案 (LAPS)

渗透测试神器CobaltStrike使用教程

相关资讯

热门标签

活动推荐

运营活动

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐