freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

对最新版某狗的测试总结
2020-09-23 15:59:36

新版某狗

在渗透测试中,经常碰到某狗,于是就下载一个最新版的研究研究。以此提高效率~官方提供最新的版本为5.0版本,测试win的服务器,安装以后,把相关安全服务开起来,避免测试不完全。

1600847190_5f6afd56025ffa725862e.png!small1600847230_5f6afd7ed364995ae4567.png!small1600847280_5f6afdb04650290fbdf9e.png!small1600847259_5f6afd9bb8e9b0ca7799a.png!small

该开的服务已经开了,安全系数应该还蛮高的了。下一步在msf获取最高的system权限先。

1600848169_5f6b012913d16c919a968.png!small

​加入管理员测试

获取到以后尝试添加用户,看看会不会拦截。

1600848220_5f6b015ca878c1d7bc19f.png!small

添加用户没有拦截,但是添加到管理组就被拦截下来,在系统中看到某狗拦截的日志。1600848235_5f6b016ba4b6a23fcb11a.png!small

显示拦截成功,那就是拦截呗。

强制杀死进程测试

尝试杀死某狗的进程方法,先查看某狗的进程。

1600848267_5f6b018b8b2bea48260b6.png!small

使用taskkill /f /pid pid号强制杀死进程~

1600848279_5f6b0197de64eff37ad27.png!small

发现此操作被阻止了,查资料发现SafeDogGuardCenter.exe 为某狗守护进程,是无法在taskkill 关闭。因此无法用该方法关闭某狗。

尝试删除某狗服务

sc query查询服务,某狗服务为SafeDogGuardCenter。

1600848358_5f6b01e66e0dd73d9704c.png!small

sc delete SafeDogGuardCenter    //删除某狗这个服务shutdown -r 重启服务器,某狗没有拦截

1600847429_5f6afe4516663a071d45a.png!small

成功将服务器重启!某狗仍然在运行,但在服务器发现安全防护被自动关闭了。

1600847437_5f6afe4d3339d92506b2f.png!small

1600847447_5f6afe578f2cf6c0b1be5.png!small

之后再尝试添加test用户到管理组,成功添加,但某狗相关服务还是存在,但是已经失效。

1600847461_5f6afe65eaec44c492ab7.png!small

登录测试。

1600847468_5f6afe6c325027b107021.png!small

禁止某狗自启服务

还原后继续尝试禁止某狗自启服务。

sc config SafeDogGuardCenter start= disabledshutdown -r  //重启服务器

1600848393_5f6b0209dad237d0b229c.png!small

直接不给我禁用这个配置,重启也没有意义了,就不重启了~

mimikatz读取密码测试

又换使用CS自带的读取win密码工具,发现也读取不到。

1600848401_5f6b02118fe870d93115d.png!small

dll 写账户测试

又尝试某位大佬通过将创建用户的dll写入exe,只要运行exe就可以自动添加用户并添加到管理组,从而避开拦截,但是某狗还是拦截了~

1600848431_5f6b022f2333b16b7146a.png!small

Guest开启测试

只能瞄向Guest用户了,还是老样子先开Guest用户。

net user guest /active:yes   //激活

尝试将Guest添加到管理组。

1600848453_5f6b0245b5b6bb1838530.png!small

被拦截了,直接登录的话,会提示这样子。

1600848458_5f6b024a5a644301b948a.png!small

那就通过修改注册表方式,进行操作。

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v limitblankpassworduse /t REG_DWORD /d 0 /f 修改limitblankpassworduse值为0

最后直接登录上去了!用户显示为administrator(前提administrator不在远程桌面登录的情况)~

1600848475_5f6b025b48e8e4f6a85ba.png!small

如果administrator在登录的情况,因为Guest此时的身份跟administrator一样

1600847397_5f6afe25c96f6f83c5827.png!small

通过查看administrators组,Guest并没在里面。

1600848502_5f6b02764d21239f448ea.png!small

修改administrator账号测试

也有人说直接改administrator账号,这肯定是不行的,没某狗还可以。

1600848520_5f6b0288bc01d3dd55476.png!small总结出两种办法可以进行绕过~

# 资讯 # 系统安全 # 数据安全 # 企业安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者