https://blog.qife122.com/tags/%E5%87%AD%E6%8D%AE%E6%8F%90%E5%8F%96/ Recent content in 凭据提取 on 办公AI智能小助手 Hugo zh-cn qife Fri, 19 Sep 2025 11:53:27 +0800 https://blog.qife122.com/p/%E7%A6%BB%E7%BA%BF%E6%8F%90%E5%8F%96%E8%B5%9B%E9%97%A8%E9%93%81%E5%85%8B%E8%B4%A6%E6%88%B7%E8%BF%9E%E6%8E%A5%E5%87%AD%E6%8D%AEaccs%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Fri, 19 Sep 2025 11:53:27 +0800 https://blog.qife122.com/p/%E7%A6%BB%E7%BA%BF%E6%8F%90%E5%8F%96%E8%B5%9B%E9%97%A8%E9%93%81%E5%85%8B%E8%B4%A6%E6%88%B7%E8%BF%9E%E6%8E%A5%E5%87%AD%E6%8D%AEaccs%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="离线提取赛门铁克账户连接凭据accs">离线提取赛门铁克账户连接凭据（ACCs）</h1> <h2 id="背景">背景</h2> <p>在之前的文章中，我重点介绍了赛门铁克管理代理中的一些变化，并基于MDSec的原始研究展示了这些变化如何影响账户连接凭据（ACCs）的检索。虽然我最初的意图是为PrivescCheck实现一个检查，但最终扩展了对该主题的研究，并发现了如何离线提取这些凭据。</p> https://blog.qife122.com/p/%E5%88%A9%E7%94%A8privesccheck%E6%A3%80%E6%B5%8B%E8%B5%9B%E9%97%A8%E9%93%81%E5%85%8B%E8%B4%A6%E6%88%B7%E8%BF%9E%E6%8E%A5%E5%87%AD%E6%8D%AEaccs%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ Sat, 06 Sep 2025 04:48:57 +0800 https://blog.qife122.com/p/%E5%88%A9%E7%94%A8privesccheck%E6%A3%80%E6%B5%8B%E8%B5%9B%E9%97%A8%E9%93%81%E5%85%8B%E8%B4%A6%E6%88%B7%E8%BF%9E%E6%8E%A5%E5%87%AD%E6%8D%AEaccs%E7%9A%84%E6%8A%80%E6%9C%AF%E8%A7%A3%E6%9E%90/ <h1 id="利用privesccheck检测赛门铁克账户连接凭据accs">利用PrivescCheck检测赛门铁克账户连接凭据（ACCs）</h1> <h2 id="背景">背景</h2> <p>去年12月（2024年），MDSec发布了一篇关于赛门铁克管理代理（原“Altiris代理”）的有趣发现的博客文章。作者Matt Johnson解释了在红队任务中，如何以本地管理员和低权限用户身份在Windows端点上提取“账户连接凭据”（ACCs）。赛门铁克管理代理（SMA）是“IT管理套件”（ITMS）的一个组件，安装在端点（通常是域加入的Windows工作站或服务器）上，与“通知服务器”（NS）通信，实现通过“赛门铁克管理控制台”集中管理端点，本质上是一个命令与控制（C2）基础设施。</p>