记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华Windows 安全描述符审计方法探究:审查事件日志安全性
在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
实现Windows进程注入的7种新方法
简介在这里,我们主要对@hexacorn上周发布的代码注入/进程注入相关的文章进行进一步的分析。在上周,@hexacorn提出了7种新型的攻击方式,以“粉碎式攻击”的方法来实现代码注入或重定向。在本文中,我们将具体讨论这些新型注入方法,并提供一些可用的示例。前五种方法的示例都将使用“Edit”和“Rich Edit”控件,最后两个则使用SysListView32和SysTreeView32。关于Rich Edit控件要进行新型注入方法的尝试,我们可以选择遍历所有窗口,例如EnumWindows,从窗口句柄中检索类的名称,然后将字符串的开始部分与“RICHEDIT”进行比较。除了这种方法之外,我们还可以使用FindWin
如何在Windows上重现macOS上的取证技巧
当你执行Apple iCloud提取时,虽然无所谓是在Windows还是在macOS平台。但仍然有些差异,因为macOS具有更好或本机iCloud支持。虽然逻辑提取也可以在任何平台上完成,但是,当使用Elcomsoft iOS Forensic Toolkit进行越狱设备的完整文件系统提取时,强烈建议使用macOS。但是,如果你擅长于使用Windows,那么接下来我们就会给你讲解一些关于如何在Windows上重现macOS上的取证技巧。启动工具包首先,即使你以管理员身份登录系统,也必须以管理员权限启动工具包。这个过程非常简单:只需在资源管理器中找到主程序脚本(Toolkit.cmd),右键单击它,然后选择“以管理员身份
使用公共语言运行时获取持久性(下)
上篇文章,虽然我们已经知道可以重写的方法和属性,以及如何更改CLR使用的默认应用程序域管理器。今天,我们就来继续说说如何将实现System.AppDomainManager的强名称程序集安装到GAC中,并最终实现使用公共语言运行时获取持久性。程序集和全局程序集缓存如上所述,必须将实现System.AppDomainManager的强名称程序集安装到GAC中,但是,仍有很多问题,比如:1.什么是程序集?2.什么是全局程序集缓存(GAC)?3.为什么以及如何将强名称程序集安装到GAC中?对于.Net Framework,程序集是一个单元,每个程序集都可以包含MSIL代码、类型、资源和清单。所有这些数据可以分组到一个文件(例
对滥用Windows特权文件操作的研究(下)
上文我们对特权文件操作的原理和可能发生漏洞的地方,进行了理论上的分析。本文我们接着将对象管理器(ObjectManager)符号链接以及漏洞利用的示例和思路。对象管理器(ObjectManager)符号链接对象管理器是一个执行体的子系统,所有其他的执行体子系统,特别是系统调用必须通过它来获得对WindowsNT资源的访问,这使得对象管理器成为资源管理的基础设施。对象管理器用来避免在其他子系统中管理资源带来的冗余与不安全。在对象管理器视角,每个资源都是一个对象,不论是物理资源(如文件系统或外设),还是逻辑资源(如一个互斥锁)。虽然NTFS确实提供了文件系统符号链接,但是在Windows上,没有特权的用户不能在文件系统上创
对滥用Windows特权文件操作的研究(上)
本文介绍了如何滥用Windows上的特权进程执行文件,来实现本地权限升级(从用户升级到管理员/系统权限)。除此之外,我还介绍了利用这类漏洞的可用技术、工具和具体过程。特权文件操作漏洞以高权限运行的进程会对所有进程中执行的文件执行操作,这意味着,当高权限进程在没有足够预防措施的情况下,可以访问用户控制的所有文件或目录。因此,从理论上说,这就是一个安全漏洞,因为恶意攻击者有可能会滥用该特权进程执行的操作,使特权文件做一些不应该做的事情。对于许多特权访问用户控制的资源的情况都是如此,文件只是一个简单的目标。在渗透测试中,大家熟知的示例包括用户可写的服务可执行文件和DLL劫持漏洞,如果你对特权服务将执行的文件具有写入权限,或者
Windows内核逻辑漏洞:IO管理器访问模式不匹配
概述本文深入介绍了Windows内核中一个有趣的逻辑漏洞,以及我与Microsoft的合作伙伴共同修复的过程。如果内核和驱动程序的开发人员在访问设备对象时未考虑IO管理器的操作方式,那么漏洞所产生的最大影响将会是本地权限提升。本篇文章重点说明了我发现漏洞的过程,并详细分析了技术背景。关于进一步调查的更多信息、修复方式和如何避免使用漏洞类编写新代码,可以参考MSRC的博客文章。技术背景我在尝试对Issue#779进行漏洞利用时,偶然发现了这个存在漏洞的类。该问题是一个文件TOCTOU绕过了自定义字体加载的缓解策略。在Windows 10中,引入了缓解策略,以限制可利用字体内存损坏漏洞的影响。通常,可以轻松使用文件和对象管
Google白帽发现Windows bug
Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞,利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode,然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开,kernel模式代码可以从不同的API函数中选择,包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下,PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查,即是否是UserMode。Io
如何在Windows AppCotainer中创建进程
概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
多种降低Windows运行速度的操作方法
前言最近我在研究VirtualAlloc时,碰到了一个新问题。如果你在这个函数中使用了错误的标志,那么,根据你分配的内存大小,Windows运行速度可能会比平时慢1000倍,甚至可能更糟。VirtualAlloc是一个Windows API函数,该函数的功能是在调用进程的虚地址空间,预定或者提交一部分页面。简而言之就是申请内存空间,用于低级内存分配。它允许你保留虚拟地址空间区域,并在这些区域内提交页面。我最近收到了一份客户的反馈报告,说在一台内存非常大的服务器上运行应用程序时,设备的启动速度反而比在内存小的设备上要慢得多。具体来说,就是当内存升级到288GB时,启动时间反而从平时的3分钟增加到了25分钟。后来在分析中,
微软安全服务标准
我们致力于保护客户免受软件、服务和设备漏洞的侵害,包括提供安全更新和指导,以便在向微软报告漏洞时,能够解决漏洞。我们还希望在我们的方法中,对安全研究人员和我们的客户保持透明。这篇文章旨在描述微软安全响应中心(MSRC)的标准——一个对当前windows最新支持版本造成影响的已知漏洞,能否被当前服务或者是下一版本的Windows解决。对于Windows中的漏洞,服务采取安全更新或适用指导的形式,它一般是在周二(每月的第二个周二)更新时发布。安全服务标准微软在评估是否应该为这个漏洞提供安全更新或指导的使用标准时,会考虑答两个关键问题:1、漏洞是否违反了安全边界或安全特性的目标或意图?2、漏洞的严重性是否符合维护标准?如果这
Windows进程注入:额外的窗口字节
介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
Windows进程注入:如何将有效负载部署到目标进程的内存空间中执行
介绍本文的目的是探讨如何将有效负载部署到目标进程的内存空间中执行。可以使用传统的Win32 API完成该任务,大家对Win32 API已经比较熟悉。但是也有可能创造性的使用非传统的方法,例如,我们可以使用API执行它们最初不打算执行的读写操作,这可能有助于规避检测。有许多种方式部署和执行有效负载,但不是所有的方法用起来比较简单。首先关注的是传统的API,尽管它相对较容易检测,但在威胁行动者中仍然很流行。下面是sysinternals提供的VMMap屏幕截图,显示了我将要处理的系统(Windows 10)的内存类型。该内存的某些部分可能用于有效负载的存储。分配虚拟内存每个进程都有自己的虚拟地址空间。进程之间存在共享内存,
披着羊皮的狼:攻击者如何利用漏洞以特定图标伪装可执行文件
这个漏洞背后的图标显示bug可以深溯到Windows图像处理代码,其允许攻击者“借来”本地其他常用的图标并自动将可移植的可执行文件伪装起来,这样就更容易诱使用户打开他们。保守来说,自从Windows 7以来,这个bug就已经出现,而且仍然存在于最新版本的Windows 10中。
我们最近在研究一批恶意PE文件的时候发现了这个bug,在将一个文件从一个目录拷贝到一个目录的之后,我们发现了一个奇怪的行为:一些文件的图标改变了。为了排除出错的可能性,我们又将文件拷贝到另一个目录下,不过情况还是一样,这些文件的图标变成了其他很常见,却与其毫不相关的图标。这引起了我们的兴趣,并对这个奇怪的现象展开调查。
视频演示:
这批2017年4月的恶意文件包含了几十个Cerber勒索软件的样本,而这些勒索软件都发生
Windows安全协议现 LDAP & RDP 中继漏洞
这些漏洞让攻击者可破解口令获取Windows凭证行为防火墙专家Preempt公司的安全研究人员,在微软 Windows NTLM(NT局域网管理器)安全协议中发现两个关键安全漏洞,一旦被利用,可使攻击者破解口令,获得目标网络凭证。第一个漏洞(CVE-2017-8563)存在于NTLM中继的LDAP(轻量级目录访问协议)中,第二个漏洞则针对广泛使用的远程桌面协议(RDP)受限管理模式。Preempt共同创始人兼CEO阿基特·桑切蒂称:“威胁态势持续发展,凸显出现有安全协议中存在的漏洞,这2个漏洞也没什么不同。NTLM让公司企业和个人处于凭证转发和口令破解的风险之下,最终,阐明了为什么公司企业必须保持警惕,并确保其部署始终是安全的——尤其是在使用NTLM这种遗留协议的时候。”Windows系统中,LDAP保护用户不
从 Win2K 到 Windows 8 没一个逃得过NSA黑客工具
好了,现在随便什么阿猫阿狗都能随意劫持大量脆弱主机了。
“影子经纪人”再泄一批NSA“方程式小组”黑客工具。这次的料杀伤面更广,从古早的 Windows 2000 到 近几年广泛使用的 Server 2012 和 Windows 7 和8,无一幸免,而且还都是些简单易用的漏洞利用工具。
该工具包谁都能用,没什么技术含量的脚本小子可以,老练的罪犯也可以。这就是一个可以用来入侵并控制全球数百万主机的民族国家级绝密武器装备库。同时,这也正是山姆大叔用来黑进外国政府、电信公司、银行和其他机构,监听窥探情报的同款强力工具包。
从微软Windows漏洞利用程序,到监视SWIFT银行间支付的工具,这批文件无所不包。对本次被泄文档和程序的分析仍在进行,但已揭示出思科防火墙和VPN网关也在该批工具目标范围之列。
“影子经纪人”
公告
关注公众号hackdig,学习最新黑客技术