记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

近20年Windows权限提升集合(上)

声明 郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担
发布时间:2020-10-27 17:58 | 阅读:1756 | 评论:0 | 标签:CVE-2016-3225 CVE-2016-3371 CVE-2016-7255 CVE-2017-0101 CVE-

近20年Windows权限提升集合(下)

声明 郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担
发布时间:2020-10-27 17:58 | 阅读:1251 | 评论:0 | 标签:CVE-2011-1249 CVE-2011-2005 CVE-2012-0217 CVE-2013-0008 CVE-

CVE-2020-16899: Windows TCP/IP拒绝服务漏洞分析

收录于话题 一、漏洞信息1. 漏洞简述漏洞名称:Windows TCP/IP Denial of Service Vulnerability漏洞编号:CVE-2020-16899漏洞类型:Read out of Bound漏洞影响:Denial of ServiceCVSS评分:7.5利用难度:Medium基础权限:不需要2. 组件概述TCP/IP是Internet上使用的通信协议。在Windows的早期版本中,TCP/IP是一个单独的可选组件,可以像其他任何协议一样删除或添加。从Windows XP/Server 2003开始,TCP/IP成为操作系统的核心组件,无法删除。
发布时间:2020-10-26 17:18 | 阅读:3062 | 评论:0 | 标签:漏洞 CVE windows

CVE-2020-16898 Windows tcp/ip远程代码执行漏洞复现

收录于话题 声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
发布时间:2020-10-25 15:32 | 阅读:8110 | 评论:0 | 标签:漏洞 CVE windows 远程 执行

关于Windows上地址空间布局随机化防御机制的分析(下)

关于Windows上地址空间布局随机化防御机制的分析(上)将32位程序重新编译为64位程序,以使地址空间布局随机化更有效尽管Windows的64位版本已经成为主流十多年了,但32位版本的使用者仍然很多。有些程序确实需要保持与第三方插件的兼容性,比如web浏览器。有时,开发团队认为程序所需的内存远远少于4 GB,因此32位代码可以节省空间。甚至Visual Studio在支持构建64位应用程序之后,在一段时间内还仍然支持32位应用程序。实际上,从32位代码切换到64位代码会产生很小但可观察到的安全性好处。原因是随机化32位地址的能力是有限的。
发布时间:2020-10-25 11:06 | 阅读:8104 | 评论:0 | 标签:防御 windows

Windows10 v2009 20H2 系统正式版下载

Windows 10 2020年10月更新终于来了,这也是今年微软为Win10准备的最后一个重大更新,最大的改变就是全新的开始菜单。这次更新的版本号其实是20H2,此前,Windows 10会根据发布年份的半数有一个代号,然后在发布前不久会转换成一个整数,比如2004、1909或1903。因此V2009代表的含义,其实就是在2020年的9月份确定的版本。这个数字是根据它预定RTM的年份和月份来计算的。现在这种情况已经消失了,因为微软只会坚持使用这个代号。
发布时间:2020-10-24 13:36 | 阅读:7913 | 评论:0 | 标签:windows

Windows横向移动全攻略(三):DLL劫持

 一、概述在这一系列的前两篇文章中,我们详细分析了通过WMI事件订阅和DCOM实现横向移动的方法,并介绍了如何改进我们的工具。在本系列的最后一篇文章中,我们将讨论如何将DLL劫持用于横向移动。从经验上来看,DLL劫持通常与创建持久性、特权提升等攻击方法相关。但是,在某些情况下,它也可以用于横向移动,正如SpectreOps的Dwight Hohnstein在这篇文章中所描述的那样,他使用了服务控制管理器实际演示了劫持过程。在这篇文章中,我们会展现出DLL劫持在横向移动方面更多的应用场景,并举例说明如何在其他服务(例如WMI和DCOM)中实现。
发布时间:2020-10-23 12:40 | 阅读:3454 | 评论:0 | 标签:移动 windows

基于Windows白名单执行Payload上线Metasploit - 渗透红队笔记

收录于话题 #红队攻击 6 #杀软对抗 1 渗透攻击红队一个专注于红队攻击的公众号大家好,这里是 渗透攻击红队 的第 17 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深), 不出意外每天一更基于白名单绕过测试环境攻击机:kali(192.168.2.12)靶机:Win7(192.168.2.13)靶机:Win10(192.168.2.4)基于白名单Rundll32上线Rundll32是指32位的DLL文件,它的作用是执行DLL文件中的内部函数,功能就是以命令行的方式调用动态链接程序库。
发布时间:2020-10-23 09:31 | 阅读:2708 | 评论:0 | 标签:渗透 windows 执行

Windows 内核提权漏洞分析:CVE-2020-1034

 简介在9月的补丁中,包含了几个允许内核提权的漏洞。但没有公布与他们相关的细节或分析。在这篇文章中,将介绍对CVE-2020-1034漏洞的研究。 补丁对比受影响的模块是ntoskrnl.exe。我下载了这个模块的补丁和未修补版本。我在Windows 10 1903 x64上进行了分析。下面是18362.1049与18362.1082版本进行比较的结果。很明显,EtwpNotifyGuid被修改过了。我仔细查看了这个函数,发现了一个重要的改变。所以决定进一步研究。 漏洞分析首先,我研究了NtTraceControl,它是EtwpNotifyGuid的网关。
发布时间:2020-10-22 16:07 | 阅读:5527 | 评论:0 | 标签:提权 漏洞 CVE windows

红队技巧:隐藏windows服务

利用windows服务来植入我们的后门也是一种常见的利用方式,但是往往一般植入的服务很容易被管理员在任务管理器看到。如果可以隐藏的话,就大大提高了我们的持久性,今天就介绍下一种利用powershell来进行隐藏windows服务的技巧,重启后也可以正常启动。首先创建一个服务(需要系统管理员权限运行的CMD):sc create mrxn binPath=C:/Users/mrxn.net/Desktop/secvery.exe start=auto成功创建了一个名为 secvery 的windows服务,实战过程可以加上一些描述,取一个迷惑性的名字等等操作迷惑对手。
发布时间:2020-10-22 12:48 | 阅读:2811 | 评论:1 | 标签:windows

关于Windows上地址空间布局随机化防御机制的分析(上)

地址空间配置随机加载(Address space layout randomization,缩写ASLR,又称地址空间配置随机化、地址空间布局随机化)是一种防范内存损坏漏洞被利用的计算机安全技术。详细一点,就是地址空间配置随机加载是一种针对缓冲区溢出的安全保护技术,通过对堆、栈、共享库映射等线性区布局的随机化,通过增加攻击者预测目的地址的难度,防止攻击者直接定位攻击代码位置,达到阻止溢出攻击的目的的一种技术。所以对于攻击者来说,绕过地址空间布局随机化的防御体系是他们执行所有内存攻击漏洞的先决条件。这意味着,关于攻破地址空间布局随机化的研究话题也是一个比较热门的领域。
发布时间:2020-10-22 11:07 | 阅读:3183 | 评论:0 | 标签:防御 windows

Windows内核对象管理全景解析前奏

 0、引言学习过Windows内核的或者从事过内核安全开发再或者从事过驱动开发的同事,必然都遇到过或者听说过这样一个概念——“内核对象管理”,然而对于这个问题,潘爱民老师的那本《Windows内核原理与实现》对齐提及甚少,但毛德操老师的《Windows内核情景分析》又不是基于Windows的源码进行分析的。对于这个问题,我曾深入研究分析过,处理通常的理论说教外,更多的是在Windbg调试器中带着大家亲自走一遍分析的过程,知其然又知其所以然。学完会发现Windows内核实现了一个小型的类似文件系统的结构来管理内核对象。
发布时间:2020-10-22 10:59 | 阅读:4620 | 评论:0 | 标签:windows

Abusing Windows Physical

Introduction​ 由于在研究内核漏洞的时候,在漏洞的利用方式上有时候,时常会用到Physical Address的概念,最先是在研究SMBleeding CVE-2020-0796、CVE-2020-1206(记录文档丢失)的RCE利用的时候接触到这一方式。后续在研究CVE-2018-1038时,再次接触到这一利用方式,有感于这种利用方式的威力,思路的新颖,特此学习记录。
发布时间:2020-10-22 10:58 | 阅读:2817 | 评论:0 | 标签:windows

如何优雅地给妹子优化电脑(Windows)?

收录于话题 来自:知乎,作者:海上漂流喵链接:https://www.zhihu.com/question/43631775/answer/714762356每个会修电脑的BOY都有故事1、能力越大,责任也就越大作为一个懂电脑的BOY。平常被姑娘问的最多一句话就是:我电脑出问题了,快帮我看一看。而作为标准回答。往往也只有一句:你重启一下试试。后来的事实证明这样做其实不好。因为这句话效率过高。导致姑娘们再没有什么事会联系你。怎么办,难道只能选择原谅重启键?于是当第一次有个姑娘告诉你:“我试过了,重启键没用”的时候。你才终于体会到。什么叫做能力越大,责任也就越大。
发布时间:2020-10-21 19:00 | 阅读:5673 | 评论:0 | 标签:windows

Windows GravityRAT 恶意软件现在开始攻击 Android 和 macOS

GravityRAT是一种以检查Windows计算机的CPU温度以检测虚拟机或沙箱而闻名的恶意软件,现在已经成为多平台的间谍软件,因为它现在也可以用来感染Android和macOS设备。GravityRAT远程访问木马(RAT)至少从2015年开始就被看似巴基斯坦的黑客组织积极开发,并被部署在针对印度军事组织的定向攻击中。 虽然恶意软件的作者之前专注于针对Windows机器,但卡巴斯基研究人员去年发现的一个样本显示,他们现在正在增加对macOS和Android的攻击。他们现在还使用数字签名来签署他们的代码,使他们的诱杀应用看起来合法。
发布时间:2020-10-21 11:10 | 阅读:3435 | 评论:0 | 标签:恶意软件 Android macOS Windows 攻击 windows mac android

恶意软件Emotet通过邮件伪装成Windows升级程序

Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。相信 极度安全 大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。
发布时间:2020-10-21 11:07 | 阅读:3024 | 评论:0 | 标签:windows

恶意软件Emotet活动升级:伪装成Windows Update邮件分发

收录于话题 更多全球网络安全资讯尽在邑安全臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。
发布时间:2020-10-20 17:18 | 阅读:6856 | 评论:0 | 标签:windows

CVE-2020-16898 | Windows TCP/IP 远程执行代码漏洞

收录于话题 更多全球网络安全资讯尽在邑安全0x00漏洞概述2020年10月14日,监测发现微软官方发布了Windows DNS Server的风险通告,该漏洞编号为CVE-2020-16898,漏洞等级:严重。Windows TCP/IP存在远程代码执行漏洞,远程攻击者通过向受影响服务器发送特制的ICMPv6(路由通报)数据包,可以造成远程代码执行影响。据了解,微软官方给出的评分为 9.8 分(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H/E:P/RL:O/RC:C)。
发布时间:2020-10-20 17:18 | 阅读:7107 | 评论:0 | 标签:漏洞 CVE windows 远程 执行

今年最严重 Windows 漏洞之一:有黑客利用 Zerologon 植入服务器后门

安全研究人员本周五发布警告称,2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用,从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”,能让攻击者访问活动目录,以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器,允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中,已经修复了这个编号为 CVE-2020-1472 的漏洞。
发布时间:2020-10-20 17:11 | 阅读:6084 | 评论:0 | 标签:漏洞 黑客事件 Windows 黑客 后门 windows

Microsoft | Windows Codecs & Visual Studio JSON远程代码执行漏洞通告

收录于话题 0x00 漏洞概述产品名称CVE  ID类  型漏洞等级远程利用影响范围Windows  CodecsCVE-2020-17022RCE高危是Visual  Studio CodeCVE-2020-17023RCE高危是 微软于2020年10月15日发布了两个带外安全更新,以修复Microsoft Windows Codecs和Visual Studio Code中的两个远程代码执行(RCE)漏洞。漏洞跟踪为CVE-2020-17022和 CVE-2020-17023,其CVSS评分均为7.8。
发布时间:2020-10-20 12:10 | 阅读:4368 | 评论:0 | 标签:漏洞 windows 远程 执行

恶意软件 Emotet 活动升级:伪装成 Windows Update 邮件分发

臭名昭著的 Emotet 恶意软件活动再次升级。在本次活动中,该恶意软件通过声称是来自“Windows Update”的电子邮件进行分发,并告诉用户应该升级微软 Word 。援引外媒 Bleeping Computer 的说法,在这些电子邮件中包含恶意的 Word/Excel 文档,或者下载链接。当用户点击之后,附件会提示用户“启用内容”从而允许宏命令运行,从而安装 Emotet 木马程序。 相信 cnBeta 的大部分读者都能识别这样的恶意电子邮件,但对于那些不太懂技术的用户来说就非常容易受骗了。
发布时间:2020-10-20 12:03 | 阅读:3658 | 评论:0 | 标签:网络攻击 Windows 恶意软件 windows

CVE-2020-16898 “坏邻居”Windows TCP/IP 远程代码执行漏洞分析

收录于话题 本文作者  Strawberry @ QAX A-TEAM2020年10月14日,微软修复了一个紧急漏洞:Windows TCP/IP 远程代码执行漏洞,漏洞编号为 CVE-2020-16898。Windows TCP/IP 堆栈在处理 ICMPv6 路由器广告数据包时,存在一个远程执行代码漏洞。攻击者可通过向受影响主机发送特制 ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。
发布时间:2020-10-19 18:11 | 阅读:8509 | 评论:0 | 标签:漏洞 CVE windows 远程 执行

CVE-2020-16898 &Bad Neighbor &Windows TCP/IP远程代码执行漏洞分析

一、漏洞信息 1. 漏洞简述 l 漏洞名称:Windows TCP/IP Remote Code Execution Vulnerability l 漏洞编号:CVE-2020-16898 l 漏洞类型:Design Weakness l 漏洞影响:Code Execution l CVSS评分:9.8 l 利用难度:Medium l 基础权限:不需要 2. 组件概述 TCP/IP是Internet上使用的通信协议。 在Windows的早期版本中,TCP/IP是一个单独的可选组件,可以像其他任何协议一样删除或添加。
发布时间:2020-10-19 17:06 | 阅读:8288 | 评论:0 | 标签:Bad Neighbor Cmd CVE-2020-16898 IPv6 PowerShell RDNSS tcpip.

CVE-2020-16898: Windows TCP/IP远程执行代码漏洞分析

收录于话题 报告编号:B6-2020-101901报告来源:360-CERT报告作者:360-CERT更新日期:2020-10-190x01 前言1.1 环境搭建(1)攻击机环境:Ubuntu 20.04安装scapysudo apt
发布时间:2020-10-19 15:37 | 阅读:9230 | 评论:0 | 标签:漏洞 CVE windows 远程 执行

微软已修复Windows安装过程中的权限提升安全漏洞

在Windows Setup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。 该漏洞是在Windows Setup处理目录的方式中发现的,微软表示,它影响到Windows 10的1803、1809、1903、1909和2004版本。不过微软表示系统只有在升级到新功能更新的过程中才容易受到攻击,其他时间都不会受到影响。现在功能更新捆绑包已经提供打了补丁后的Setup二进制文件,该漏洞已经 “不复存在”。
发布时间:2020-10-19 12:56 | 阅读:3743 | 评论:0 | 标签:漏洞 网络安全 Windows windows 安全

【10.19】安全帮®每日资讯:微软已修复Windows安装过程中的权限提升安全漏洞;NASA拟与诺基亚联手打造月球4G服务

收录于话题 安全帮®每日资讯微软已修复Windows安装过程中的权限提升安全漏洞在Windows Setup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。该漏洞是在Windows Setup处理目录的方式中发现的,微软表示,它影响到Windows 10的1803、1809、1903、1909和2004版本。
发布时间:2020-10-19 10:29 | 阅读:4374 | 评论:0 | 标签:漏洞 windows 安全

Windows系统KMS激活工具神龙版

这是一键激活office和Windows任意版本工具,目前各种的office和Windows的激活工具参差不齐,效果不一,失效的很多,很多激活工具都植入广告木马,甚至病毒。这次给大家发布的这个是万能KMS激活工具,可以一键激活office和Windows任意版本,亲测尝试了一下完美激活,大家看有所帮助的可以去使用一下!使用说明1、点击”激活”按钮后,请稍后片刻即可成功;2、此软件纯属技术交流,请支持微软正版;3、软件绿色无毒,经得起任何杀软查杀。
发布时间:2020-10-19 10:19 | 阅读:4811 | 评论:0 | 标签:windows

windows令牌窃取几种方式

收录于话题 声明由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。前言可根据权限名或者进程名进行token窃取,利用token窃取可以进行nt提权、普通降权、域(管)用户权限获取等操作。No.1exeincognito.exe可用于有杀毒、不出网、防火墙限制等无法cs或msf上线情况。
发布时间:2020-10-18 16:31 | 阅读:9867 | 评论:0 | 标签:windows

感染Windows最常见的恶意电子邮件附件

为了保证网络安全,每个人都需要识别网络钓鱼电子邮件中通常用于传播恶意软件的恶意附件。当恶意软件传播时,攻击者创建垃圾邮件运动,这些活动伪装成发票、邀请函、支付信息,运输信息,电子邮件,语音邮件等。这些电子邮件中包含恶意的Word和Excel附件或链接,当打开这些附件并启用了宏后,这些附件就会在计算机上安装恶意软件。但是,在Word或Excel执行文档中的宏之前,Office要求你点击“启用编辑”或“启用内容”按钮,不过这是绝对不能做的。
发布时间:2020-10-17 10:24 | 阅读:8822 | 评论:0 | 标签:windows

【通告更新】PoC已公开,独家技术分析,“坏邻居”Windows TCP/IP 远程代码执行漏洞安全风险通告第二次更新

收录于话题 近日,奇安信CERT监测到Windows TCP/IP 存在远程代码执行漏洞,攻击者可通过向受影响主机发送特制ICMPv6 路由广告包来利用此漏洞,成功利用此漏洞的攻击者可在目标服务器或客户端上执行任意代码。目前已经监测到可稳定触发BSOD(蓝屏死机)的POC,经过奇安信CERT研判,此漏洞危害较大,攻击者有可能制作蠕虫病毒来实现远程代码执行。奇安信CERT强烈建议受影响用户及时更新补丁,做好相应防护。此次更新新增内容:此漏洞的PoC已被公开,漏洞危害变大。新增技术分析奇安信 CERT漏洞描述CVE-2020-16898被称为“坏邻居”漏洞。
发布时间:2020-10-17 09:42 | 阅读:9440 | 评论:0 | 标签:漏洞 windows 远程 执行 安全

ADS

标签云