RID(Relative Identifier)劫持

RID(Relative Identifier)是Windows操作系统中用于唯一标识安全主体(如用户、组等)的一种标识符。在Windows中,每个安全主体都有一个相对标识符(RID),它是由安全主体的安全标识符(SID)中的一个部分,用于在本地或域环境中唯一标识安全主体。

RID的作用主要体现在以下几个方面:

  1. 唯一标识:RID作为SID的一部分,帮助Windows系统唯一标识每个安全主体。当操作系统需要确定特定用户或组时,会使用其SID来进行识别,而RID就是其中的一个组成部分。

  2. 权限控制:通过RID,系统可以识别并控制每个安全主体的访问权限,包括文件、文件夹、注册表项等资源的访问权限。

  3. 跨域管理:在Windows域环境中,RID也扮演着重要的角色,用于在不同域之间唯一标识安全主体,使得跨域管理变得更加方便和高效。

 

PowerShell 中,你可以使用 Get-WmiObject 命令来查询本地计算机或远程计算机的 RID 信息。以下是一个简单的示例代码,用于在本地计算机上查询当前用户的 RID:

powershellCopy Code
$currentUser = [System.Security.Principal.WindowsIdentity]::GetCurrent()
$currentUserUser = New-Object System.Security.Principal.NTAccount($currentUser.Name)
$sid = $currentUserUser.Translate([System.Security.Principal.SecurityIdentifier])
$rid = $sid.Value -replace "-\d+$"
Write-Output "当前用户的RID: $rid"

这段代码首先获取当前用户的 Windows 身份,然后通过 NTAccount 类将其转换为 NTAccount 对象,再利用 Translate 方法将其转换为 SecurityIdentifier 对象,最后提取 RID 部分并输出。

 

查询当前用户的完整 SID 信息,可以使用以下 PowerShell 命令:

powershellCopy Code
$currentUser = [System.Security.Principal.WindowsIdentity]::GetCurrent()
Write-Output "User SID: $($currentUser.User.Value)"

这段代码将输出当前用户的完整 SID 信息。$currentUser.User.Value 包含当前用户的完整安全标识符 (SID)。

查询所有用户的完整 SID 信息,可以使用以下 PowerShell 命令:

powershellCopy Code
$users = Get-WmiObject Win32_UserAccount

foreach ($user in $users) {
    Write-Output "Username: $($user.Name)"
    Write-Output "SID: $($user.SID)"
    Write-Output ""
}

这段代码将获取系统中所有用户的信息,并输出他们的用户名和对应的完整 SID 信息。你可以将以上 PowerShell 代码复制粘贴到 PowerShell 窗口中执行,以获取所有用户的完整 SID 信息。

 

RID(Relative Identifier)劫持是指攻击者利用Windows中的安全漏洞,通过修改或劫持目标计算机的RID来获取权限或访问资源的一种攻击手段。RID是Windows中用于标识安全主体(如用户、组等)的一种标识符,当攻击者成功劫持RID后,可以获取高权限或执行未授权的操作。

基础技术原理包括以下几个方面:

  1. 漏洞利用:攻击者通常利用Windows系统中的漏洞,通过各种手段获取对目标计算机的访问权限,例如利用系统中的安全漏洞进行提权。

  2. 修改目标对象的RID:一旦攻击者获得了足够的权限,他们可能会修改目标计算机中的对象(如用户、组)的RID,使其拥有不正当的权限或特权。

  3. 获取高权限:通过劫持RID,攻击者可以获得目标系统中其他用户或管理员的权限,甚至是系统级别的权限,从而对系统进行操控或窃取敏感信息。

为防止RID劫持,建议采取以下安全措施:

  • 及时安装系统补丁和更新,以修复已知的安全漏洞。
  • 使用强密码策略,确保所有用户账户的密码复杂度和安全性。
  • 限制普通用户的权限,避免赋予过多的特权。
  • 定期审计系统日志,及时发现异常行为并进行处理。

Windows 注册表中,RID(Relative Identifier)信息存储在以下路径下:

Copy Code
HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users

具体地说,每个用户的 RID 信息都存储在 Users 子键中的一个子键中。每个子键的名称是用户的 RID 值。

 

如果你需要获取特定用户的 RID 信息,可以按照以下步骤进行操作:

  1. 打开注册表编辑器(运行 regedit)。
  2. 导航到 HKEY_LOCAL_MACHINE\SECURITY\SAM\Domains\Account\Users 路径。
  3. 在 Users 键下找到与所需用户对应的子键。子键名称是用户的 RID 值。
  4. 单击该子键,并查看其包含的值。其中包括用户的用户名、SID 等信息。

 

 

posted @ 2024-02-27 02:43  suv789  阅读(35)  评论(0编辑  收藏  举报