如何使 用Ketshash检测可疑的特权NTLM连接
发布时间:2023-02-22 10:40:36 所属栏目:安全 来源:
导读:关于Ketshash
Ketshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是Pass-The-Hash攻击。
该工具作为“Pass-The-Hash detect
Ketshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是Pass-The-Hash攻击。
该工具作为“Pass-The-Hash detect
|
关于Ketshash Ketshash是一款针对NTLM安全的分析与检测工具,该工具可以帮助广大研究人员基于事件查看器日志来分析和检测可疑的特权NTLM连接,尤其是Pass-The-Hash攻击。 该工具作为“Pass-The-Hash detection”研究的一部分,以完整开源的形式发布给广大研究人员使用。 该工具可以基于下列信息来实现其功能: 1、受监控计算机上的安全事件日志(登录事件); 2、活动目录中的身份验证事件; 工具要求 该工具的使用要求用户账号拥有下列权限: 1、访问远程计算机的安全事件日志; 2、活动目录的读取权限(标准域帐户); 3、计算机在同一时间同步,否则会影响结果; 4、至少安装并配置好PowerShell 2.0; 工具下载 该工具是一个PowerShell脚本,因此我们只能在支持PowerShell 2.0+的设备上使用该工具。 广大研究人员可以使用下列命令将该项目源码克隆至本地: 复制 git clone https://github.com/cyberark/ketshash.git 1. 工具使用 基础使用 打开PowerShell窗口,并运行下列命令: 复制 Import-Module .\Ketshash.ps1 1. 或者,将Ketshash.ps1的内容拷贝到PowerShell会话窗口中。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐