记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华win32k.sys驱动CreateSurfacePa的本地提权漏洞分析(CVE-2019-1362)(下)
在上一篇文章中,我们介绍了漏洞发生的运行环境和运行过程。在这一篇文章,我将介绍漏洞的实际攻击过程,并对其进行分析。1.每个池内存块(大块除外)前面都有一个POOL_HEADER记录,我们需要在伪造的_PALOBJ结构之前欺骗一个池标头。2.释放一块内存时,用下一个池标头的内容验证它的池标头的内容。因此,我们还需要在fake _PALOBJ结构上创建一个额外的伪造池标头。3.池标头(PoolIndex字段)中有一个字段包含内存块所属的池的索引。4.在正常情况下,尽管理论上最多可以分配16个池,但是在操作系统中可以使用4个池。每个池都通过使用其描述符POOL_DESCRIPTOR记录进行管理。5.我们将使用一种名为“Poo
win32k.sys驱动CreateSurfacePa的本地提权漏洞分析(CVE-2019-1362)(上)
随着用于安全目的的沙箱程序越来越常见,沙箱转义也变得越来越重要。因此,我们一直在寻找这些类型的漏洞。本文讲的这个漏洞是最新发现的一个Windows 7本地权限升级(LPE)漏洞,目前该漏洞已经被定义为CVE-2019-1362。简单来说,该漏洞就是非权限用户可以利用此漏洞在内核上下文中执行代码并获得系统权限。漏洞介绍此漏洞是由于win32k.sys缺少对参数的验证。CreateSurfacePal内核函数。这个函数涉及到处理调色板对象。palette对象是作为可用颜色数组的内核模式对象。它与某些图形输出设备(显示器和打印机)一起使用,这些设备被配置为使用一组预定义的颜色进行操作。在Windows NT内核的最初设计中,
K7 Secrity防病毒软件本地提权漏洞(CVE-2019-16897)分析
本文将以作者在K7 Security防病毒软件中发现的漏洞为例,简要讨论对这些安全产品进行漏洞研究的方法。目标选择俗话说,越危险的地方往往越安全,让网络攻击者们绞尽脑汁的安全产品在部分人眼里也能成为拿来利用的工具,因为这些安全产品无论是在内核(作为驱动程序)中还是在用户环境(作为特权服务)中都是受信任且有权限的,这也意味着如果攻击者以此为突破口侵入用户电脑,就能执行恶意代码或其他恶意操作。防病毒软件存在于操作系统的低权限空间中,用户通过UI组件执行一些高权限操作,例如启用禁用、添加目录或文件排除项、扫描文件查找恶意软件等,防病毒软件必须访问操作系统对象,并对其操作(例如读取文件、注册表项、内存等)后才能进行恶意软件检测
提权总结以及各种利用姿势
本文章适合正在学习提权的朋友,或者准备学习提权的朋友,大佬就可以绕过了,写的比较基础。我也是一个小白,总结一下提权的姿势和利用,也分享一些自己觉得好用的方法给大家,欢迎大家帮我补充,有什么好用的提权的方法也可以分享一下,大家共同进步。本篇有自己的理解,如果有什么不对的或者不好的地方希望大家不要喷我,但是欢迎帮我指正。
提权的含义:
提权,顾名思义就是提升权限,当我们getshell一个网站之后,大部分情况下我们的权限是非常低的(一般只是一个apache权限)。这时候为了“扩大战果”,就需要利用提权,来让原本的低权限(如只允许列目录)–>高权限(拥有修改文件的能力),提升一下权限,有助于我们继续往下渗透。
提权的方式有以下几种:
Linux:
本地提权
数据库提权
第三方软件提权
Window
发布时间:2019-12-01 12:20 |
阅读:17496 | 评论:0 |
标签:提权
特权提升攻防揭秘:macOS恶意软件如今还需要root提权吗?
一、前言在本篇文章中,我们详细描述关于macOS上的特权提升。首先,我们将介绍安全研究人员在Apple桌面操作系统的最新版本中发现的一些漏洞,其中重点说明已经转化为可靠漏洞利用的一些漏洞。针对这些漏洞,提出面向企业和终端用户的安全建议。随后,我们将视角从研究人员转向攻击者,探讨macOS威胁参与者所使用的的攻击方法,并说明为什么他们采用了与安全研究人员截然不同的方法。二、什么是特权提升?首先,我们先对这个专业名词进行解释。每当要执行一段代码时,操作系统都会在调用代码的用户上下文中执行。从技术上说,这个用户不一定是真实的用户,但为了方便理解,我们在这里仅指用户启动某些应用程序或脚本的场景。在这时,代码可以访问用户拥有的资
域渗透——使用Exchange服务器中特定的ACL实现域提权
0x00最近学到的一个域环境下的提权技巧,在域环境中,安装Exchange后会添加一个名为Microsoft Exchange Security Groups的OU,其中包括两个特殊的组:Exchange Trusted Subsystem和Exchange Windows Permission,如果获得了这两个组内任意用户的控制权限,就能够继承该组的WriteDACL权限,进而修改域对象的ACL,最终实现利用DCSync导出域内所有用户hash。接下来可以使用域用户krbtgt的hash制作Golden Ticket,登录域控制器,获得对整个域的控制权限。学习资料:https://github.com/gdedrou
Linux提权姿势
0x00 前言本文是在阅读了in.security 提权靶场通关手册后学习的一点总结和记录,作为笔记供以后使用查阅。原文链接将附在文末。0x01 信息收集获取到一个shell后,要进行一系列的信息收集,以获取更多的提权思路。检测当前用户权限whoami id查看系统的发行版本和内核版本lsb_release -a uname -a查看suid文件查看运行的服务及安装的程序查看/etc/passwd文件及隐藏文件等收集到的信息越多,越能找到更多的突破口。0x02 提权方法sudo 提权sudo是linux系统管理指令,是允许系统管理员让普通用户执行一些或者全部的root命令的一个工具。普通用户可以通过sudo -l命令查看可以执行哪些命令。这样普通用户就可以在不知道root密码的情况下使用这些命令。因为用户
发布时间:2019-09-24 17:25 |
阅读:23916 | 评论:0 |
标签:提权
Linux本地提权漏洞(CVE-2019-13272)预警
2019年07月20日,Linux正式修复了一个本地内核提权漏洞。通过此漏洞,攻击者可将普通权限用户提升为Root权限。漏洞描述当调用PTRACE_TRACEME时,ptrace_link函数将获得对父进程凭据的RCU引用,然后将该指针指向get_cred函数。但是,对象struct cred的生存周期规则不允许无条件地将RCU引用转换为稳定引用。 PTRACE_TRACEME获取父进程的凭证,使其能够像父进程一样执行父进程能够执行的各种操作。如果恶意低权限子进程使用PTRACE_TRACEME并且该子进程的父进程具有高权限,该子进程可获取其父进程的控制权并且使用其父进程的权限调用execve函数创建一个新的高权限进程
利用AlwaysInstallElevated提权的测试分析
0x00 前言利用AlwaysInstallElevated提权是一个2017年公开的技术,Metasploit和PowerUp都提供了利用方法。我在研究的过程中,发现Metasploit的利用方法存在一些不足,我遇到了和其他公开文章描述不一样的情况。于是我做了进一步的研究,本文将要介绍我遇到的问题和解决方法。0x01 简介本文将要介绍以下内容:· 常规利用方法· 我在测试中遇到的问题· 解决方法· 扩展利用思路0x02 常规利用方法AlwaysInstallElevated是一个组策略配置,如果启用,那么将允许普通用户以SYSTEM权限运行安装文件(msi)。启用方法:需要修改以下两个组
Apache HTTP Server组件提权漏洞预警
近日,Aapche HTTP Server官方发布了Aapche HTTP Server 2.4.39版本的更新,该版本修复了一个漏洞编号为CVE-2019-0211提权漏洞,漏洞等级高危,根据深信服安全团队分析,该漏洞影响严重,攻击者可以通过上传攻击脚本在目标服务器上进行提权攻击,该漏洞在非*nix平台不受影响。Apache HTTP Server组件介绍Apache HTTP Server源于NCSAhttpd服务器,于1995年推出,取名取自于“a patchy server”的读音,意思是充满补丁的服务器,因为它是自由软件,所以不断有人来为它开发新的功能、新的特性、修改原来的缺陷。Apache HTTP Ser
红队PostgreSQL攻击教程
PostgreSQL是一款流行的开源关系型数据库,支持多平台。很多的POSIX操作系统和Windows操作系统上都有安装这个数据库。当所有软件变得越来越复杂时,攻击面也会不断增加,所以Postgres也一样。根据系统配置,Postgres能成为红队利用的重要资源来进行系统入侵。由于postgres很常见,而且支持性良好,有很多的预安装工具,非常有利于你漏洞利用过程(参考metasploit的一些例子)。如果你想完成某件事情并且进行总结和提取要点,那么了解基础知识是非常重要的。现在我们开始学习攻击PostgreSQL数据库。服务发现Nmap是一款发现各种服务的扫描神器。我们也可以选择masscan或者unicornsca
Advantech WebAccess访问控制权限配置不严导致的本地提权漏洞披露
2018年11月1日,趋势科技的Zero Day Initiative向研华科技(Advantech)报告了关于Advantech WebAccess8.3.3版本中的配置漏洞(ZDI-19-257)。截至2019年3月7日,研华尚未解决此漏洞,因此在本文中,Zero Day Initiative根据披露政策向公众披露了此漏洞。WebAccess漏洞的背景知识中国台湾的研华WebAccess软件是研华物联网应用平台解决方案的核心,为用户提供一个基于HTML5技术用户界面,实现跨平台、跨浏览器的数据访问体验。使用WebAccess后,用户可以建立一个信息管理平台,同步提高垂直市场管理发展的效率。研华WebAccess提供
结合NTLM中继和Kerberos委派实现域成员机器的提权
在上个月发表文章中,我们详细介绍了无约束委派方面的安全问题;在本文中,我们将讨论另一种类型的Kerberos委派:基于资源的约束委派。需要说明的是,本文的内容以Elad Shamir发表的关于Kerberos的相关研究为基础,并结合了我们自己的NTLM研究,提出了一种新型的攻击技术:如果我们与攻击对象位于同一网段中,无需任何凭据,就可以在活动目录中的任意Windows计算机上以SYSTEM权限执行代码。实际上,这只是滥用活动目录不安全的默认配置的另一个示例,并没有利用任何新型的漏洞。攻击过程概述如果攻击者位于本地网络中,无论是物理上还是通过受感染的工作站连接至本地网络,只要网络中尚未使用IPv6协议,他们就可以利用mi
提权指南:LG内核驱动程序本地权限提升漏洞分析(CVE-2019-8372)
概述本文主要分析LG内核驱动程序的本地权限提升漏洞,其中包含有关深入挖掘漏洞的教程,以及有关两个新工具的详细信息。最后,我们共同了解如何选择有价值的驱动程序漏洞研究目标,分析它们所存在的漏洞,并学习提升权限的漏洞利用开发技术。如果这听上去符合你的需要,那么请各位读者仔细阅读本篇文章。· 第一部分:漏洞详细信息· 第二部分:漏洞探索分析· 第三部分:漏洞利用分析漏洞摘要LHA内核模式驱动程序(lha.sys/lha32.sys,v1.1.1703.1700)与LG Device Manager系统服务相关联。如果检测到BIOS中的产品名称含有下列字符,则该服务会加载驱动程序:T350,10T370,1
CTF靶机——bounty通关攻略
今天,我们的CTF靶机是bounty。这个靶机来自hack the box漏洞实验室。他们有很多的ctf靶机,渗透测试人员可以进行在线测试,从初级水平到专业级别的靶机都有。我们这个靶机的等级属于中级。靶机的任务是找到user.txt和root.txt文件。注意:因为这些实验都可以进行在线测试,所以他们都有一个静态IP,Bounty靶机的IP是10.10.10.93。通关攻略首先,肯定是扫描神器Nmap开路,用基本的nmap命令来探测开放的端口和服务:nmap -A 10.10.10.93从扫描结果可以看到开启了80端口,运行的服务是IIS7.5.我们来访问一下80端口,在浏览器地址栏中输入IP地址后
Windows上的Java Usage Tracker本地提权漏洞详情披露(CVE-2018-3211)
我们发现,Java Usage Tracker中的设计缺陷/弱点可以让黑客创建任意文件,注入攻击者指定的参数并提升本地特权。反过来,这些可以链接起来并用于升级权限,以便访问受影响系统中的资源,这些资源通常受到保护或限制给其他应用程序或用户。我们通过Zero Day Initiative与Oracle合作修补了这个漏洞,这已经通过Oracle 10月的补丁更新得到了解决。因此,必须敦促用户和企业修补和更新他们的Java版本。在这篇文章中,我们将深入研究这个缺陷如何在Windows上运行,Java Usage Tracke又是如何工作的,以及如何定义启用漏洞的条件。Java Usage TrackerJava有一
公告
关注公众号hackdig,学习最新黑客技术