概述
父进程欺骗是一种访问令牌操作技术,通过将恶意文件的PPID指定为explorer.exe等合法进程的PPID,可帮助攻击者规避启发式检测等防御技术。
该欺骗可通过
使用本地API调用来执行,该调用可帮助攻击者显式指定PID,如C++中的CreateProcess调用。正如我们将在本文中看到的那样,这种显式分配也可能具有某些附带好处。
阅读:209一、漏洞概述1月26日,绿盟科技CERT监测到Qualys研究团队公开披露了在Polkit的pkexec 中发现的一个权限提升漏洞(CVE-2021-4034) ,也被称为PwnKit。该漏洞是由于pkexec 无法正确处理调用参数,从而将环境变量作为命令执行,具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞,从而获得受影响主机的root 权限。目前该漏洞的细节和PoC已公开,请相关用户尽快采取措施进行防护。Polkit(PolicyKit)是类Unix系统中一个应用程序级别的工具集,通过定义和审核权限规则,实现不同优先级进程间的通讯。
文章目录一. 漏洞概述二. 影响范围三. 漏洞检测3.1 人工检测四. 漏洞防护4.1 官方升级4.2 临时防护措施声明阅读: 4一. 漏洞概述1月26日,Sudo发布安全通告,修复了一个类Unix操作系统在命令参数中转义反斜杠时存在基于堆的缓冲区溢出漏洞。当sudo通过-s或-i命令行选项在shell模式下运行命令时,它将在命令参数中使用反斜杠转义特殊字符。但使用-s或 -i标志运行sudoedit时,实际上并未进行转义,从而可能导致缓冲区溢出。
声明
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担?
声明
郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担?
在这篇文章中,我们将讨论Windows Service Tracing中的一个任意文件移动漏洞。在我们的测试过程中,该漏洞将影响从Windows Vista至Windows 10的所有版本操作系统,但是Windows XP也很有可能会受此漏洞影响,因为XP系统中也有这项功能。 Windows Service Tracing Service Tracing这项服务在Windows平台上历史悠久,早在XP就已经引入了这个功能。
介绍
为演示一些非常基本的SQL注入(SQLi)以及如何利用PowerShell Empire进行权限提升,我建立了一个小实验室。 演示将以网络上的未经身份验证的用户启动,并以目标Active Directory域的完全管理权限结束。
最近Casey Smith@subTee更新了一系列关于”MSBuild”的研究进展,对我有很大启发。
本文将基于他公开的POC,并结合我的研究心得,介绍以下MSBuild的应用技?
发布时间:
2016-10-29 18:20 |
阅读:225059 | 评论:0 |
标签:
渗透技巧 权限提升 渗透测试
Linux内核在处理内存写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。
漏洞危害:低权限用户可以利用该漏洞修改只读内存,进而执行任意代码获取 root 权限。影响范围:
该漏洞影响所有 Linux Kernel >= 2.6.22 的版本。2.6.22 是 2007 年发布的版本,也就是说这个漏洞几乎影响 2007 以后的所有版本。
Joomla是一个自由开源的内容管理系统,在10月25日Joomla 发布了3.6.4版本。其中修复了2个关键的安全问题和一个认证的bug。Joomla的安全团队确认了这个安全问题。
根据这两个漏洞的简短技术描述,其允许远程攻击者在Joomla网站创建具有提升权限的账号(即使在用户注册功能被禁用的情况下)。
介绍
这篇文章是让你开始Windows权限提升的一个尝试。虽然它不是一个全面的指南,但会尽量涵盖所有的主要技术,给一个你可以建立的基础。
在这篇文章的底部有一个非常好的资源列表。
操作系统
让我们从一个受限的用户账号开始权限提升的过程。在这一点上,我们掌握很少(或者没有)关于系统功能的信息,比如谁会使用它,什么时候系统处于空闲状态,或者它连接到那台主机等。
确定操作系统的名字以及版本:
检查系统的体系结构:
注意:如果系统是32位,上面的命令将返回“x86”,如果是64位系统,它将返回“AMD64”。
正在测试新版glype(http://www.glype.com/)网络代理程序(我不得不说一下这款代理程序是游走内网必备神器,没有之一)的时候用NMAP对本地内网80端口做了个简单的扫描(nmap -T5 10.10.0.0/24 -p80 –open),但是人生处处有惊喜。最近隔壁小伙伴正在搭建它强大的社工裤,本地php环境采用默认安装,并且可以浏览目录,于是我原本纯洁的内心产生了邪恶的念头。
本地存在phpMyAdmin程序,使用默认口令root/root进入后台。
这里可能存在槽点,但请你记住:在内网中使用默认配置,默认口令的开发或者管理人员是安全的软肋。
0x00 概述
最近提交了一些关于 docker remote api 未授权访问导致代码泄露、获取服务器root权限的漏洞,造成的影响都比较严重,比如
新姿势之获取果壳全?
0x00 简介
之前写过一篇关于客户端钓鱼的文章:《使用powershell Client进行有效钓鱼》中,在使用各个Client进行测试的过程中,个人发现CHM文件是最好用的一个,但是其缺点就是会弹黑框,这样就会让被攻击者察觉。那么怎么让他不弹黑框呢?那就是本文要介绍的内容啦~
0x01 CHM 简介
在介绍怎么使用CHM来作为后门之前,首先要知道CMH是什么东西。
CHM(Compiled Help Manual)即“已编译的帮助文件”。它是微软新一代的帮助文件格式,利用HTML作源文,把帮助内容以类似数据库的形式编译储存。
* 原创作者:tahf(图文无关)0×00 前言前一阵子收录了一个名为Potato的提权工具,发现该工具提权的姿势与以往工具不太一样,而且与WPAD代理有关,于是展开测试和分析,主要通过分析其网络数据流量来研究该提权工具的独特姿势。分析中学到了不少东西,希望能把一些思考过的东西跟大家分享下。还请各位大牛批评指正!整个工程代码和程序在GitHub上。
【0x01】
入口:nmap 扫描c段发现x.x.x.2开放不少端口
https(443)访问发现是个ssl-vpn登录口
按照经验,一般这种系统往往会存在测试帐号,比如test、Guest等等。
手工试一下:test::****,然后就进去了。
【0x02】
发现:进去后,对各个功能进行了熟悉和测试,发现了一个erp软件。打开后需要登录,测试了几个常用测试口令,进去了。
0×01 前言CVE-2015-5090是存在于Adobe Reader/Acrobat Pro中的一个bug,并且早在几个月前就已经被发现并提交至ZDI了。本文主要是讲这个bug的细节,并分享几种不同攻击方法。 AdobeARMService是Adobe的更新程序,是在Adobe Reader/Acrobat Pro安装程序上安装的系统服务。这个服务在注册表中创建了启动服务的控制管理,从而允许服务处理外部的控制请求。
Hot Potato是用于windows7,8,10,Server 2008,Server2012上的权限提升,是一种新颖的网络攻击方式。How it worksHot Potatok利用了windows中已有的一些问题,在windows默认配置下进行本地权限提升。实际是利用了NTLM重放(更确切的说是HTPP->SMB重放),和NBNS欺骗。这听起来似乎觉得有些熟悉,那是因为类似的技术Google Project Zero的伙计们也披露过link。事实上,我们的代码就借用了他们的poc中的代码,并进行了扩展。
首先看了一下网站,没看出是什么程序写的,也没发现值得深入下手的地方。于是便旁注了,很快,拿到了一个旁站的shell。
这才发现,服务器支持asp,aspx,php,但是限制很多。
简单试了下没提权成功。反正拿服务器不是首要任务,首要任务是挂菊花聊天室,先挂上聊天室再提权(后来事实证明,还是先提权才能把主页挂上菊花的)。
发布时间:
2015-06-16 04:45 |
阅读:215508 | 评论:0 |
标签:
渗透实例 权限提升 渗透测试
About
XSOCKS is a reliable socks5 proxy server for windows and linux.
It has support forward and reverse mode.
More information about socks5 : RFC1928
Complier
Windows
devenv.exe build.sln /rebuild R
为避免文章过长,这里就不贴出详细测试过程了。经过我的测试,发现本地用户hash抓取的方法中,以下几种方式是可行的:
注册表导出+cain
Pwdump7.exe
QuarksPwDump.exe
mimikatz.exe
这几种方式都可以抓到本地用户hash,其中mimikatz.exe只能抓到登陆过的账户的hash值,
已经抓取不到明文的密码了,但是,有一些有意思的东西,直接上图:
仔细看图,可以发现,wdigest的内容为n.a. ,也就是没有抓取到明文密码。看来微软还是有一点改进的,注入lsass.exe进程已经抓不到明文了。
0x01 背景
内网渗透中经常用到psexec这个工具,可以很方便的得到一个半交互式的cmd shell。
但是psexec也有一些问题:psexec需要对方开启ADMIN$共享,而且需要安装服务;另外,psexec退出时有可能服务删除失败,这个情况只是偶尔,但是我碰到过。
安装服务会留下明显的日志,而且服务没有删除的风险更大,管理员很容易就会发现。
WMI可以远程执行命令,所以我就想用VBS脚本调用WMI来模拟psexec的功能,于是乎WMIEXEC就诞生了。基本上psexec能用的地方,这个脚本也能够使用。
MS15-051简介:Windows 内核模式驱动程序中的漏洞可能允许特权提升 (3057191) , 如果攻击者在本地登录并可以在内核模式下运行任意代码,最严重的漏洞可能允许特权提升。 攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。 远程或匿名用户无法利用此漏洞。
背景介绍
通常来说,管理本地管理员帐户的登录凭证是很难考虑周全的。从设置强密码到在多台机器上设置独特密码,我们很少看到能够正确做到所有这些安全措施的情况。在我们渗透测试的大多数例子中,我们看到大部分域内计算机都配置了相同的本地管理员登录凭证。对于网络攻击者来说这简直是美味佳肴,因为它向攻击者敞开了横向访问整个网络系统的大门。
之前微软的一个修复方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性。这一点可以通过使用微软的工具来自动实现,并且本地密码的复杂度也可以得到增强(自动改变)。理论上,这确实是一个很不错的解决方案。
受不了NTDSXTract的龟速,于是用quarkspwdump改了个能读取system.hiv的离线版提取工具,顺便修复了个坑爹的BUG。
ntds.dit其实就是个esent数据库,微软本身就有一系列的文档化api能够操作这个数据库,其链接是:
https://msdn.microsoft.com/en-us/library/windows/desktop/gg294074.aspx
既然是windows api,那么效率自然不用提了:本地测试300M的ntds.dit,内含近万条HASH。
前言
域管理进程转移,使得渗透测试人员能够模拟在互联网上的域名管理员账户进行操作。尽管如此,在渗透测试开始之前需要确认系统中进程是否运行。在这篇博文中,我讲介绍5个技巧来帮助大家去做这些事情。
本地检测
查询活跃的域控制器
扫描远程系统上运行的任务
扫描远程系统上NetBIOS信息
PSExec扫描远程系统上的身份验证令牌
获取域名管理员权限
在大多数情况下,本篇文章关注的焦点在于识别运行于域名管理进程的系统。
在windows下保存密码无非就是两个位置:注册表和文件。于是用windbg打开查询分析器(版本为SQL Server Management Studio 2005 Express),下几个条件断点:bp kernel32!
发布时间:
2015-04-28 04:15 |
阅读:213651 | 评论:0 |
标签:
渗透技巧 权限提升 渗透测试
本文首先分析了 return-into-libc 的攻击原理,分别介绍了在不同平台进行传统 return-into-libc 攻击的实验过程和结果。然后,本文进一步引入并解释了返回导向编程的攻击方式,这种攻击可以弥补传统 return-into-libc 攻击的不足,使得攻击更灵活、更有效。最后,本文给出了针对这些攻击方法的防御手段。本文可以帮助读者了解 return-into-libc 攻击以及如何在系统中防止攻击的发生。
前言
缓冲区溢出攻击是最常见的利用程序缺陷的攻击方法,并成为了当前重要的安全威胁之一。
在各种安全报告中,缓冲区溢出漏洞始终是其中很重要的一部分。
91ri.org注:本案例中的拿shell方法比较简单,篇幅有限我们只看主要的,从拿到权限开始讲述。
安装后门
进入系统后,我的RP是如此滴幸运,竟然是root权限。。。
0x01 工作背景:
1、 某厅级部门政府站点被篡改
2、 上级主管部门安全通告
3、 配合该部门查明原因限期整改
0x02 工作记录:
1、 信息收集
A、首先到机?