开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

用于查找注册表项高级审核设置(权限)的Powershell命令

Powershell是一种在Windows操作系统上运行的脚本语言和命令行工具，它提供了丰富的功能和强大的管理能力。在云计算领域中，Powershell可以用于自动化和管理云环境中的各种任务和操作。

要查找注册表项高级审核设置的Powershell命令，可以使用以下命令：

Get-Acl -Path "Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" | Format-List -Property Audit*

这个命令将获取指定注册表路径下的访问控制列表（ACL）信息，并显示与审核相关的属性。具体解释如下：

Get-Acl：用于获取指定路径下的ACL信息。
-Path：指定要获取ACL信息的注册表路径。在示例中，我们使用了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion作为示例路径，你可以根据实际情况修改。
Format-List：用于格式化输出信息。
-Property Audit*：指定只显示与审核相关的属性。这将包括注册表项的审核策略、审核成功和审核失败等设置。

这个命令可以帮助你查找注册表项高级审核设置，并获取相关的信息。

在腾讯云中，可以使用云服务器（CVM）来运行Powershell命令。腾讯云的云服务器提供了丰富的计算资源和灵活的配置选项，适用于各种应用场景。你可以通过访问腾讯云的云服务器产品页面了解更多相关信息。

请注意，以上答案仅供参考，具体的命令和产品选择应根据实际需求和环境来确定。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

红队战术-躲避日志检查

windows事件日志简介：Windows 系统日志是记录系统中硬件、软件和系统问题的信息，同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。

02

Window权限维持（四）：快捷方式

Windows快捷方式包含对系统上安装的软件或文件位置（网络或本地）的引用。自从恶意软件出现之初，便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK，它为红队提供了很多机会来执行各种格式的代码（exe，vbs，Powershell，scriptlet等）或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性，但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。

03

Windows用户自查：微软紧急更新修复Meltdown和Spectre CPU漏洞

1月3日深夜，微软发布了针对Meltdown和Specter的系统安全更新，而两个安全漏洞影响了几乎所有自1995年以来发布的CPU（不止Intel）。根据微软的安全建议来看，这些 Windows 安全更新能够解决了各种Windows 发行版中的Meltdown和Spectre漏洞。操作系统更新 KBWindows Server, version 1709 (Server Core Installation)4056892Windows Server 20164056890Windows Server 2

08

CVE-2020-0796漏洞复现（RCE）

2020年3月10日，微软在其官方SRC发布了CVE-2020-0796的安全公告（ADV200005，MicrosoftGuidance for Disabling SMBv3 Compression）,公告表示在Windows SMBv3版本的客户端和服务端存在远程代码执行漏洞。同时指出该漏洞存在于MicroSoft Server Message Block 3.1.1协议处理特定请求包的功能中，攻击者利用该漏洞可在目标SMB Server或者Client中执行任意代码。该漏洞的后果十分接近永恒之蓝系列，都利用Windows SMB漏洞远程攻击获取系统最高权限，WannaCry勒索蠕虫就是利用永恒之蓝系列漏洞攻击工具制造的大灾难。除了直接攻击SMB服务端造成RCE外，该漏洞得亮点在于对SMB客户端的攻击，攻击者可以构造特定的网页，压缩包，共享目录，OFFICE文档等多种方式触发漏洞进行攻击。

02

Window权限维持（五）：屏幕保护程序

屏幕保护是Windows功能的一部分，使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知，Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件，并通过scrnsave.scr实用程序执行。

01

如何获得PowerShell命令的历史记录

我在最近的学习过程中，发现PowerShell的命令的历史记录有时会包含系统敏感信息，例如远程服务器的连接口令，于是我对PowerShell的的历史记录功能做了进一步研究，总结一些渗透测试中常用导出历史记录的方法，结合利用思路，给出防御建议。

03

工具的使用|PowerSploit脚本的用法

我们先下载PowerView.ps1脚本到本地，然后在当前目录下打开cmd，执行以下命令执行PowerView.ps1脚本中的Get-NetDomain模块，如果要执行该脚本的其他模块，亦是如此

01

安全工具 | PowerSploit使用介绍

我们先下载PowerView.ps1脚本到本地，然后在当前目录下打开cmd，执行以下命令执行PowerView.ps1脚本中的Get-NetDomain模块，如果要执行该脚本的其他模块，亦是如此

02

Powershell快速入门（三）实战应用

SharPersist：一款渗透测试中实现Windows系统常驻的套件

PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进，正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。其中一些改进包括脚本块记录，反恶意软件脚本接口（AMSI）以及第三方安全供应商针对恶意PowerShell活动签名的开发。目前已发布了多个C#工具包，如Seatbelt，SharpUp和SharpView，用以攻击生命周期各个阶段的任务。而在攻击生命周期中缺少C#工具包的一个阶段就是持久性。为此，FireEye Mandiant的红队创建了名为SharPersist的新Windows持久性工具包。

00

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

02

windows提权看这一篇就够了

windows在日常的渗透中经常遇到，而在内网之前，经常会在所拿到的跳板机进行提权，这样后面横向，内网才能更好的展开（抓hash，必须得系统或管理员权限），所以这里做了一次window提权总结，建议收藏，反复看，熟能生巧！

03

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

在Windows 10中，Microsoft的反恶意软件扫描接口（AMSI）被作为新功能被引入，作为标准接口，该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够

07

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

这是 WMI 攻击手法研究系列第三篇，本文将重点介绍与 Windows 注册表的交互。在开始之前需要了解的一件事情是：MITRE ATT&CK 对查询注册表 (Query Registry) 归类于 T1012 以及它的修改 (Modify Registry) 归类于 T1112。

02

PrivescCheck：一款针对Windows系统的提权枚举脚本

PrivescCheck是一款针对Windows系统的提权枚举脚本，该脚本能够枚举出目标Windows系统中常见的Windows错误安全配置，而这些错误的安全配置将允许攻击者在目标系统中实现信息收集以及权限提升，这些对于攻击者的漏洞利用以及后渗透攻击来说将非常有用。

04

内网渗透基石篇--权限提升

在windows中，权限大概分为四种，分别是User、Administrator、System、TrustedInstallerTrus

06

让你的 Windows 应用程序在任意路径也能够直接通过文件名执行

我们可以在任何路径下输入 explorer 来启动资源管理器，可以在任何路径中输入 git 来使用 git 相关的命令。我们知道可以通过将一个应用程序加入到环境变量中来获得这个效果，但是还有其他的方式吗？

01

Windows之注册表介绍与使用安全

PC机及其操作系统的一个特点就是允许用户按照自己的要求对计算机系统的硬件和软件进行各种各样的配置。早期的图形操作系统，如Win3.x中对软硬件工作环境的配置是通过对扩展名为.ini的文件进行修改来完成的，但INI文件管理起来很不方便，因为每种设备或应用程序都得有自己的INI文件，并且在网络上难以实现远程访问。为了克服上述这些问题，在Windows 95及其后继版本中，采用了一种叫做“注册表”的数据库来统一进行管理，将各种信息资源集中起来并存储各种配置信息。按照这一原则Windows各版本中都采用了将应用程序和计算机系统全部配置信息容纳在一起的注册表，用来管理应用程序和文件的关联、硬件设备说明、状态属性以及各种状态信息和数据等。

02

在 Microsoft Windows 平台上安装 JDK 17

例如，如果您正在为 64 位系统下载 JDK 安装程序，用于更新 17 Interim 0、Update 0 和 Patch 0，则文件名 jdk-17.interim.update.patch_windows-x64_bin.exe变成 jdk-17_windows-x64_bin.exe.

01

Windows手工入侵排查思路

Windows系统被入侵后，通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等，给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权，启动方式多种多样，比如注册表、服务、计划任务等，这些都是需要重点排查的地方。另外，需要重点关注服务器日志信息，并从里面挖掘有价值的信息。

03

利用注册表键值Bypass UAC

fodhelper.exe是一个具备autoElevate属性且是微软自带的工具，具备微软签名，该程序在执行过程中会将注册表中HKCU:\Software\Classes\ms-settings\Shell\Open\command的内容当作命令执行。接下来笔者通过该程序大致地讲解一下如何通过fodhelper.exe绕过UAC。

01

Windows常见的持久化后门汇总

持久化后门是指当入侵者通过某种手段拿到服务器的控制权之后,通过在服务器上放置一些后门(脚本、进程、连接之类),来方便他以后持久性的入侵,简单梳理一下日常遇见windows用的比较多的一些持久化方式方便以后排查问题使用.

03

MSSQL--PowerUpSQL介绍

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

03

PS常用命令之文件目录及内容操作

描述: 切换当前工作目录的路径实际上在PowerShell中cd命令就是其的别名。

02

Windows 提权

当我们通过webshell拿到一个普通用户的权限，由于是普通用户所以很多操作都会受限制。这就需要通过一定的方法将普通用户提权到更高权限的用户。

09

Bypass-UAC（用户帐户控制）的那些事

在本文中，我们将简要介绍一下用户帐户控制，即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。

02

BypassUAC技术总结

用户帐户控制（User Account Control，简写作UAC)是微软公司在其[Windows Vista](https://baike.baidu.com/item/Windows Vista)及更高版本操作系统中采用的一种控制机制，保护系统进行不必要的更改，提升操作系统的稳定性和安全性。管理员在正常情况下是以低权限运行任务的，这个状态被称为被保护的管理员。但当管理员要执行高风险操作（如安装程序等），就需要提升权限去完成这些任务。这个提升权限的过程通常是这样的，相信各位都眼熟过。

03

PowerShell实战：文件操作相关命令笔记

cmdlet New-Item 将创建新项并设置其值。可创建的项类型取决于项的位置。例如，在文件系统 New-Item 中创建文件和文件夹。在注册表中， New-Item 创建注册表项和条目。

02

服务隐藏与排查 | Windows 应急响应

攻击者通过创建服务进行权限维持过程中，常常会通过一些手段隐藏服务，本文主要演示通过配置访问控制策略来实现隐藏的方式以及排查方法的探索

01

内网渗透之DCOM横向移动

COM即组件对象模型(Component Object Model，COM) ，是基于 Windows 平台的一套组件对象接口标准，由一组构造规范和组件对象库组成。COM是许多微软产品和技术，如Windows媒体播放器和Windows Server的基础。

02

计划任务的攻防战 | Window 应急响应

一些安全研究员发现，通过修改创建的计划任务的注册表，同时删除计划任务文件，可以完全隐藏计划任务，并且执行不受影响

01

Windows系统安全|Windows中获取用户密码

Windows系统使用两种方法对用户的密码进行哈希处理，它们分别是 LAN Manager（LM）哈希和 NT LAN Manager（NTLM）哈希。所谓哈希（hash），就是使用一种加密函数对其进行加密。这个加密函数对一个任意长度的字符串数据进行一次数学加密函数运算，然后返回一个固定长度的字符串。

02

ATT&CK框架：攻击者最常用的TOP7攻击技术及其检测策略

之前，青藤云安全已经对ATT&CK进行了一系列的介绍，相信大家都已了解，Mitre ATT&CK通过详细分析公开可获得的威胁情报报告，形成了一个巨大的ATT&CK技术矩阵。诚然，这对于提高防御者的防御能力、增加攻击者的攻击成本都有巨大作用。但或许是出于猎奇心理，很多威胁情报报告更多地是在报道攻击者使用的比较新颖有趣的技术方法，而却忽视了攻击者反复使用的普通技术。这也是Mitre公司在2019年10月份的ATT&CKcon2.0大会上，推出了ATT&CK Sightings项目，以期借助社区力量收集更多直接观察数据的原因所在。

01

【漏洞通告】微软SMBv3协议远程代码执行漏洞（CVE-2020-0796）PoC公开处置手册

北京时间6月2日晚，绿盟科技监测到有研究人员公布了SMBv3协议远程代码执行漏洞（CVE-2020-0796）远程利用的PoC代码，极大的增加了该漏洞的潜在危害，建议还未修复漏洞的用户尽快采取措施进行防护。

02

红队之浅谈基于Windows telemetry的权限维持

在我们红队拿到主机权限的时候，我们往往需要通过这台机器进行深一步的渗透，或者目标服务器可能因为系统更新，杀软更新等等原因往往导致会话莫名其妙下线了，所以权限持久化是红队一个必不可少的工作。

01

StripedFly：揭开恶意软件常年隐身的秘密

作为一个加密货币挖矿软件，StripedFly常年隐藏在一个支持Linux和Windows的复杂模块化框架后面。它配备了一个内置的TOR网络隧道，用于与命令控制（C2）服务器通信，同时通过可信服务（如GitLab、GitHub和Bitbucket）进行更新和交付功能，所有这一切都使用自定义加密归档。可以说，创建这个框架所付诸的努力确实十分了不起，同样地，它所披露的真相也相当惊人。

01

权限维持方法小结

WinlogonHack 是一款用来劫取远程3389登录密码的工具，在 WinlogonHack 之前有一个 Gina 木马主要用来截取 Windows 2000下的密码，WinlogonHack 主要用于截取 Windows XP 以及 Windows 2003 Server

01

红队之浅谈基于Windows telemetry的权限维持

在我们红队拿到主机权限的时候，我们往往需要通过这台机器进行深一步的渗透，或者目标服务器可能因为系统更新，杀软更新等等原因往往导致会话莫名其妙下线了，所以权限持久化是红队一个必不可少的工作。

02

一篇文章精通PowerShell Empire 2.3（下）

Empire主要用于后渗透。所以信息收集是比较常用的一个模块，我们可以使用searchmodule命令搜索需要使用的模块，这里通过键入“usemodule collection”然后按Tab键来查看完整列表，如下图所示。

02

1.Powershell基础入门介绍与安装升级

描述: PowerShell 之父 Jeffrey Snover在加入微软之前是搞Linux的, PowerShell 是构建于 .NET 上基于任务的命令行 shell 和脚本语言,在PowerShell里随处看到Linux Shell的影子如ls, wget, curl 等。但PowerShell绝对不是shell的简单升级。 PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统（Linux、macOS 和 Windows）和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法)，与我们可以采用ISE 集成脚本环境进行PS脚本编写;

02

寻找活动目录中使用可逆加密存储密码的账户

密码安全问题一直都受到个人和企业的关注。对于个人而言，或许仅仅只是个人隐私的被公开，而对于企业而言则可能会是灾难性的。为了避免出现这种情况，越来越多的企业都开始使用一些不可逆，且强度高的加密算法来加密其账户密码。但一些安全意识薄弱的企业或个人，仍在使用可逆加密存储其账户密码。一旦使用可逆加密，即使你的密码设置的非常长也可以被攻击者轻易的破解。

01

CrowdStrike | 无文件攻击白皮书

CrowdStrike是端点保护平台（EPP）的最强者，是云交付的下一代端点保护的领导者。由于CrowdStrike邮件推送了“无文件攻击白皮书”《谁需要恶意软件？对手如何使用无文件攻击来规避你的安全

04

Active Directory 持久性技巧 1：目录服务还原模式 (DSRM)

每个域控制器都有一个用于 DC 的内部“Break glass”本地管理员帐户，称为目录服务还原模式 (DSRM) 帐户。提升 DC 时设置的 DSRM 密码，很少更改。在域控制器上更改 DSRM 密码的主要方法是运行 ntdsutil 命令行工具。

01

cmd/powershell/anaconda prompt提示“系统找不到指定的路径”

在Win10 cmd 或 anaconda 命令行中，会遇到输入命令前先弹出“系统找不到指定的路径”的问题。本文记录解决方案。问题描述打开命令行 (cmd.exe)或者powershell，anaconda prompt等，提示“系统找不到指定的路径”(“The system cannot find the path specified”) 原理在windows系统中，打开一个命令行 (cmd.exe)或者类似的anaconda prompt, 下面两个注册表项会被自动检测: HKEY_L

02

Win11彻底关闭Defender（包括禁用、删除Defender服务和文件夹）

一般是不建议禁止defender自动更新或者彻底关闭Defender的，但如果你有其他替代的安全方案了，觉得defender有干扰业务隐患，想干掉，那这篇文档非常适用。耗费了不少心血在server2016-2022和win10、win11上对比实践。

05

从某电商钓鱼事件探索黑客“一站式服务”

深信服EDR安全团队，整理分析了一起某电商钓鱼事件，通过关联信息，发现背后可能存在一个“产业链齐全”的黑客团伙，研究发现其具备“一站式服务”的黑客攻击手段。

03

Window权限维持（一）：注册表运行键

在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此，持久性是红队成功运作的关键，这将使团队能够专注于目标，而不会失去与指挥和控制服务器的通信。

04

浅谈无文件攻击

与大多数恶意软件不同，“无文件”攻击并不会在目标计算机的硬盘中留下蛛丝马迹，而是直接将恶意代码写入内存或注册表中。由于没有病毒文件，传统基于文件扫描的防病毒软件很难侦测到它们的存在。然而，“无文件”攻击的定义已经逐渐扩大化，那些需要依靠文件系统的某些功能来实现激活或驻留的恶意软件也已经包括在了“无文件”攻击的范畴中。

01

如何防止Mimikatz「获取」Windows密码

黑客总是在用最简单的攻击方式来实现他们的目的，比如用已经存在了好多年的工具——Mimikatz（猕猴桃），它可以从系统内存中轻松获取到明文密码。受影响的系统 Windows 7和Windows Server 2008（老系统也受影响）。最新的Windows 8 / 10 、Windows Server 2012 / 2016原本是不受影响的，但是高权限的黑客可以通过修改注册表来实现这样的攻击。风险黑客拥有系统管理员权限，就能从内存中获取登录认证信息（明文/各种哈希格式）。描述在Windows X

08

围绕PowerShell事件日志记录的攻防博弈

【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB，请在文末进行了解！】

03

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭