开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

用于查找注册表项高级审核设置(权限)的Powershell命令

Powershell是一种在Windows操作系统上运行的脚本语言和命令行工具，它提供了丰富的功能和强大的管理能力。在云计算领域中，Powershell可以用于自动化和管理云环境中的各种任务和操作。

要查找注册表项高级审核设置的Powershell命令，可以使用以下命令：

Get-Acl -Path "Registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion" | Format-List -Property Audit*

这个命令将获取指定注册表路径下的访问控制列表（ACL）信息，并显示与审核相关的属性。具体解释如下：

Get-Acl：用于获取指定路径下的ACL信息。
-Path：指定要获取ACL信息的注册表路径。在示例中，我们使用了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion作为示例路径，你可以根据实际情况修改。
Format-List：用于格式化输出信息。
-Property Audit*：指定只显示与审核相关的属性。这将包括注册表项的审核策略、审核成功和审核失败等设置。

这个命令可以帮助你查找注册表项高级审核设置，并获取相关的信息。

在腾讯云中，可以使用云服务器（CVM）来运行Powershell命令。腾讯云的云服务器提供了丰富的计算资源和灵活的配置选项，适用于各种应用场景。你可以通过访问腾讯云的云服务器产品页面了解更多相关信息。

请注意，以上答案仅供参考，具体的命令和产品选择应根据实际需求和环境来确定。

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

红队战术-躲避日志检查

禁用Windows事件日志记录，是最常规红队手法，为了减少可用于安全人员检测和审核的数据量，提高红队活动的隐蔽性，红队人员可以禁用Windows事件日志记录。...实操 1.使用Wevtutil命令清除事件日志 Wevtutil是一个系统工具，可以查找事件日志和发布者的详细信息，也可以使用此命令来安装和卸载事件清单，导出，归档和清除日志，是一个及其好用的系统日志管理工具...权限：管理员权限命令：wevtutil cl 日志类型比如这里我去清除安全日志： wevtutil cl security 就清除了安全日志，完全可以做成一个批处理程序，来批量清楚日志。...权限：管理员权限命令：以管理员身份运行Powershell并执行以下命令 Clear-Eventlog -LogName Security Clear-Eventlog -LogName System...以管理员身份运行mimikatz并执行以下命令： privilege::debug event:: 5.MiniNT registry key 您可以使用注册表，如下所述创建新的注册表项，然后重新启动计算机以重新加载配置单元

9772 0

安全工具 | PowerSploit使用介绍

PowerSploit是一款基于PowerShell的后渗透框架软件，包含了很多PowerShell的攻击脚本，它们主要用于渗透中的信息侦测，权限提升、权限维持等。...Registry Checks(注册审核) Get-RegistryAlwaysInstallElevated 该模块用于检查AlwaysInstallElevated注册表项是否被设置，如果已被设置...，则意味着SAM文件是以System权限运行的 Get-RegistryAutoLogon 该模块用于检测Winlogin注册表的AutoAdminLogon项是否被设置...，可用于查询默认的用户名和密码 Get-ModifiableRegistryAutoRun 该模块用于检查开机自启的应用程序路径和注册表键值，然后返回当前用户可修改的程序路径，被检查的注册表键值有以下...还可以在域环境中传输文件(前提是执行命令的用户是域用户) 注：该脚本需要管理员权限运行复制文件 Import-Module .

5.6K2 0

工具的使用|PowerSploit脚本的用法

脚本的使用 PowerSploit PowerSploit是一款基于PowerShell的后渗透框架软件，包含了很多PowerShell的攻击脚本，它们主要用于渗透中的信息侦测，权限提升、权限维持等。...Registry Checks(注册审核) Get-RegistryAlwaysInstallElevated 该模块用于检查AlwaysInstallElevated注册表项是否被设置，如果已被设置...，则意味着SAM文件是以System权限运行的 Get-RegistryAutoLogon 该模块用于检测Winlogin注册表的AutoAdminLogon项是否被设置...，可用于查询默认的用户名和密码 Get-ModifiableRegistryAutoRun 该模块用于检查开机自启的应用程序路径和注册表键值，然后返回当前用户可修改的程序路径，被检查的注册表键值有以下...还可以在域环境中传输文件(前提是执行命令的用户是域用户) 注：该脚本需要管理员权限运行复制文件 Import-Module .

1.7K1 0

windows提权看这一篇就够了

一些没有管理员权限无法完成的操作：注册表修改（如果注册表项在HKEY_LOCAL_MACHINE下（因为它影响多个用户），它将是只读的）加载设备驱动程序 DLL注入修改系统时间（时钟）修改用户帐户控制设置...（通过注册表，可以启用/禁用该设置，但您需要正确的权限才能执行此操作）修改受保护的目录（例如Windows文件夹，Program Files）计划任务（例如，以管理员权限自动启动） UAC不会自动阻止恶意软件...hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。...当加载某些较高完整性级别进程时，会引用这些注册表项，从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。...此模块修改注册表项，但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配，但是当前的低权限meterpreter会话体系架构中可能不同。

16.3K3 1

windows提权看这一篇就够了

一些没有管理员权限无法完成的操作：注册表修改（如果注册表项在HKEY_LOCAL_MACHINE下（因为它影响多个用户），它将是只读的）加载设备驱动程序 DLL注入修改系统时间（时钟）修改用户帐户控制设置...（通过注册表，可以启用/禁用该设置，但您需要正确的权限才能执行此操作）修改受保护的目录（例如Windows文件夹，Program Files）计划任务（例如，以管理员权限自动启动） UAC不会自动阻止恶意软件...hkcu配置单元中创建COM处理程序注册表项来绕过Windows UAC。...当加载某些较高完整性级别进程时，会引用这些注册表项，从而导致进程加载用户控制的DLL,这些DLL包含导致会话权限提升的payload。...此模块修改注册表项，但在调用payload后将清除该项,这个模块需要payload的体系架构和操作系统匹配，但是当前的低权限meterpreter会话体系架构中可能不同。

3.4K2 0

Powershell快速入门（三）实战应用

Set-Location命令用于切换工作目录，它的别名是cd。 Get-Location命令用于获取当前工作目录，它的别名是pwd。 Get-ChildItem命令用于获取当前目录下的所有文件。...Get-Item命令用于获取给定文件的信息。还有文件移动、删除、复制、粘贴、重命名等命令，输入Get-Command -Noun item就可以看到这些命令，这里就不做介绍了。...首先，如果是比较简单的需求，可以使用?*通配符来搞定，问号用于匹配任意单个字符，星号用于匹配任意多个字符。比方说，我想要列出所有.md格式的文件，就可以使用下面的命令。...$path = "HKCU:\Control Panel\Desktop" 如果要新建注册表项，可以使用New-Item命令。我们可以使用注册表编辑器regedit来验证项是否创建成功。...Remove-ItemProperty -path $path\hellokey -name Fake 如果要删除整个注册表项，使用Remove-Item命令。

3.8K10 1

SharPersist：一款渗透测试中实现Windows系统常驻的套件

背景 PowerShell在过去的几年里在Offensive安全社区被广泛使用。但随着防御性安全行业的推进，正致使攻击性工具包从PowerShell迁移到反射C#以逃避现代安全产品的检测。...SharPersist 持久性技术截至本文发表时，SharPersist支持的持久性技术及其所需的权限，如下表所示。技术描述技术开关名称（-t）是否需要管理权限？ Touches 注册表？...注册表持久性 SharPersist中支持的注册表项的完整列表如下表所示。注册表项代码（-k）注册表项注册表值是否需要管理权限？支持 Env 可选附加组件（-o env）？...下图中显示的示例在“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”注册表项中创建名为“Test”的注册表值，其值为“cmd.exe/c calc.exe...我们需要做的第一件事就是查找一个用于后门的计划任务。在这本例中，我们将后门添加到了一个登录时运行的计划任务中，如下图所示。 ?

1.8K0 0

无需登录域控服务器也能抓 HASH 的方法

它可能在您的环境中有所不同）按照以下路径启用审核登录事件: 计算机配置 --> Windows 设置 --> 安全设置 --> 高级审核策略配置 --> 审核策略 --> 登录/注销 --> 审核登录...它可能在您的环境中有所不同）按照以下路径启用审核登录事件: 计算机配置 --> Windows 设置 --> 安全设置 --> 高级审计策略配置 --> 审计策略 --> DS 访问 --> 审计目录服务访问...它可能在您的环境中有所不同）按照以下路径启用审核登录事件: 计算机配置 --> Windows 设置 --> 安全设置 --> 高级审核策略配置 --> 审核策略 --> DS 访问 --> 审核目录服务更改...我们可以在这里查找特定进程的访问权限: 这种攻击也可以通过 ATA 检测为“异常协议实现” 检测 DCSync 我们可以运行以下查询来确定是否执行了 DCSync 攻击。...注意：- 此命令无法检索 DCSync 权限的值，我们将始终将值视为“WriteAttributes”，我们需要从加入域的机器上运行此命令。

2.8K1 0

Windows 提权

注册表键AlwaysInstallElevated AlwaysInstallElevated是注册表里的一个策略设置项，如果启用此策略设置项，那么任何权限的用户都能以system权限来安装恶意的MSI...Files或Windows目录查看其他用户的文件夹 UAC有四种设置要求始终通知:这是最严格的设置,每当有程序需要使用高级别的权限时都会提示本地用户....仅在应用尝试更改我的计算机时通知我:这是UAC的默认设置.当本地Windows要求使用高级别的权限时,不会通知用户.但是,第三方程序要求使用高级别的权限时,会提示本地用户仅在应用尝试更改计算机时通知我.../local/bypassuac_fodhelper（通过FodHelper注册表项） exploit/windows/local/bypassuac_eventvwr（通过Eventvwr注册表项）...脚本(https://github.com/shanfenglan/test/blob/master/juicypotato/clsid.ps1)来查找可用的CLSID powershell -executionpolicy

1.8K9 0

WMI 攻击手法研究 – 与 windows 注册表交互 (第三部分)

把我们目前所知道的放在一起，可以使用以下这个命令来获取注册表项下的所有键： Get-WmiObject -Namespace root\default -Class StdRegProv -List |...如果不知道绝对路径，可以通过简单地替换上面命令中的路径来浏览注册表。...1 查询注册表键的值 KEY_SET_VALUE 2 创建、删除或设置注册表值 KEY_CREATE_SUB_KEY 4 创建注册表项的子项 KEY_ENUMERATE_SUB_KEYS 8 枚举注册表项的子项...创建注册表项现在我们知道对在 HKEY_CURRENT_USER 下运行的注册表项有写访问权限，将计算器应用程序添加到注册表项中。...PowerShell 函数，用于枚举、创建、删除、更新键等，在手动处理问题时非常有用； Get-Information.ps1：Nishang 通过注册表收集系统的有趣信息； Invoke-WmiCommand.ps1

1.2K2 0

让你的 Windows 应用程序在任意路径也能够直接通过文件名执行

本文介绍向 Windows 注册一个应用程序路径的各种方法。 ---- Windows 如何查找程序路径？...当我们在任意目录中输入一个命令的时候，Windows 会按照如下顺序寻找这个命令对应的可执行程序：当前的工作目录 Windows 文件夹（仅此文件夹，不会搜索子文件夹） Windows\System32...推荐使用 App Paths 即修改此注册表项来添加可执行程序。...当然，你也可以使用当前用户键下的注册表项来实现同样的目的，程序使用当前用户路径写注册表是不需要管理员权限的。...比如下图是 PowerShell Core 的 msi 包安装后添加的 pwsh.exe 键。 ?

2.1K1 0

无招胜有招：看我如何通过劫持COM服务器绕过AMSI

幸运的是，COM服务器易于劫持，因为COM服务在处理流程上默认在查找HKCR/HKLM之前会去先搜索当前用户的注册表配置单元（HKCU），以用于COM服务器来正常处理。...为了做到这一点，有两个注册表项需要修改：劫持COM服务的整个过程是：当AMSI尝试实例化其COM组件时，它将查询其在注册表中注册的CLSID并返回一个不存在的数值。...CoCreateInstance（）可以定义为高级函数，该函数用于实例化使用CoGetClassObject（）生成的COM例程。...该函数解析完成后（部分通过注册表CLSID查找）以及定位到COM服务器后，服务器的导出函数“DllGetClassObject（）”将被调用。...通过这些操作后，我们获许就可以劫持DLL，或者我们可以创建相同的注册表项来劫持AMSI的COM组件。

2.7K7 0

常规安全检查阶段 | Windows 应急响应

查找隐藏账户直接打开 powershell 窗口或在 cmd 窗口中输入 powershell 进入 powershell 命令行 Get-WmiObject -Class Win32_UserAccount...安全描述符定义了对任务的访问权限和安全设置，包括哪些用户或组有权访问、更改或删除任务。...GUI 环境变量查询常规查询方式如下：右键此电脑-属性-高级系统设置-环境变量也可以直接通过搜索栏搜索环境变量【 Windows Server 2016 】默认情况 2. set 命令查询基本信息...不能仅用签名进行验证签名验证可以参考知识点附录 -> 如何验证程序签名 0x28 AppCert DLLs AppCert DLLs是一个Windows注册表项，通常用于控制应用程序的证书验证。...当给定的可执行文件被启动时，操作系统会检查注册表中的 IFEO 设置。如果找到了对应的注册表项，系统会自动启动所配置的调试器程序，并将目标可执行文件作为参数传递给调试器。

1.2K1 0

1.Powershell基础入门介绍与安装升级

PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统（Linux、macOS 和 Windows）和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法)，与我们可以采用....zip 在安装过程中创建注册表项: 描述: 从 PowerShell 7.1 开始，MSI 包将创建用于存储 PowerShell 安装位置和版本的注册表项。...发布体系结构注册表项 7.1.x 版本 x86 HKLM\Software\Microsoft\PowerShellCore\InstalledVersions\1d00683b-0f84-4db8...通过 Winget 安装 PowerShell : 通过 winget 命令行工具，开发人员可以在 Windows 10 计算机上查找、安装、升级、删除和配置应用程序。...还应在没有 sudo 或本地管理权限的情况下能够运行 Docker。

7.1K2 0

BypassUAC技术总结

，dll加载也遵循着Know DLLs注册表项的机制：Know DLLs注册表项指定的DLL是已经被操作系统加载过后的DLL，不会被应用程序搜索并加载。...表项中的dll是预先就加载进内存空间的，被诸多应用调用着，改动需要高权限。...在net4.0以前，若检查通过，会马上去查找COR_PROFILER指定的注册表项，找到其dll路径并加载 net4.0后，会先查找COR_PROFILER_PATH是否指定dll文件路径，若没有再去查找...COR_PROFILER指定的注册表项，找到其dll路径并加载。...这里拿事件查看器举例操作-》打开保存的目录-》文件目录路径处输入powershell-》弹出高权限powershell 以此内推，还有很多相似的管理工具可以这样利用注册表劫持 Fodhelper.exe

8953 0

Windows之注册表介绍与使用安全

1.4.1 概述注册表编辑器是一个可以让你改变系统注册设定的高级工具。...Regedit.exe 不提供下列功能：不能设置注册表项的安全性。如果需要这一功能则必须使用 Regedt32.exe。...●查找要导入的文件，单击选中该文件，再单击“打开”。 1.4.3 更改项和值 1.4.3.1 查找字符串、值或注册表项 ●单击“编辑”菜单中的“查找”。...●在“查找目标”框中，键入要查找的字符串、值或注册表项。 ●选中“项”、“值”、“数据”和“全字匹配”复选框，以匹配要搜索的类型，然后单击“查找下一个”。...修改注册表来更改上下文菜单(鼠标右键),注意其管理员权限。

1.6K2 0

在 Microsoft Windows 平台上安装 JDK 17

-5E84-A439-4D8FAAA05C79} 要查找 UninstallString，请参阅查找 JDK 注册表项和卸载字符串值。...查找 JDK 注册表项和 UninstallString 价值转到开始并键入注册。...在下面 Uninstall文件夹，您会在 curl 中找到许多注册表项括号。点击编辑，然后查找。笔记：强调 Uninstall之前的文件夹执行搜索特定注册表。...输入版本字符串作为值以查找相应的注册表钥匙。例如，输入 jdk-15 。注册表项突出显示在窗格的右侧和各种值卸载字符串显示在左侧窗格。...要删除注册表项：确定正确的注册表项。请参阅查找 JDK 注册表项和 UninstallString 价值。突出显示该键，右键单击并选择删除。单击是出现提示时。

3641 0

干货 | 常用提权辅助工具推荐

/linux-exploit-suggester.sh 三、使用Sherlock工具 1、简介 Sherlock是一个在Windows下用于本地提权的PowerShell脚本。...利用 PowerUp 进行提权需要首先导入 ps1 文件powershell-import PowerUp.ps1，再执行powershell Invoke-AllChecks命令，使用 PowerUp...-k Name是注册表项 -n 仅显示没有访问权限的对象 -p Name是进程或进程PID，例如svchost.exe -r 仅显示具有读取访问权限的对象 -s 递归 -v 显示详细信息...-w 仅显示具有写入访问权限的对象 2.常用语句查看所有用户在d盘dir路径的子路径的权限 accesschk "d:\dir" 查看Administrator用户在d盘dir路径的子路径的权限...用户对hklm\software注册表的权限 accesschk -k Guest hklm\software 查看User用户对全局对象的权限 accesschk -ou User 3.详细使用方式

5901 1

利用注册表键值Bypass UAC

可以看到fodhelper.exe会查询注册表中 HKCU\Software\Classes\mscfile\shell\open\command的值，后面也会多次出现shell\open这个注册表项，...HKCU是当前用户注册表项，权限限制不严格。...使用Powershell中的New-Item命令就可以在指定注册表中创建一个新的键，使用命令New-Item "HKCU:\Software\Classes\ms-settings\Shell\Open...\command" -Force来创建一个新的注册表项。...可以在default值中设置启动程序，在Powershell中运行代码清单4-23所示代码，执行结果如图1-9所示，虽然像这种注册表的Bypass UAC还有很多，不过大部分都只能针对Windows 10

5361 0

针对哈萨克斯坦的基于多阶段 PowerShell 的攻击

首先执行 lnk 文件，该文件调用 PowerShell 以通过运行多个Powershell脚本来操作注册表项和执行多种技术，例如权限提升和持久性。...在这种情况下，运行任务将导致 PowerShell 脚本以管理员权限启动，绕过 UAC。该技术被黑客用于针对 Windows 8 和 Windows 10 系统。...用于执行绕过的 PowerShell 命令使用 0x58 密钥进行 XOR 加密。...解密命令后，我们可以看到UAC绕过的过程，包括在Task Scheduler中创建一个SilentCleanup任务，调用PowerShell以更高的权限执行创建的vbs文件。...ProgramFiles 目录中创建一个 vbs 文件 (cu.vbs)，并通过将此 vbs 文件添加到HKLM\Software\Microsoft\Windows\CurrentVersion\Run 注册表项来使这种多阶段攻击持久化

9702 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭