记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华攻击者是如何利用Windows RPC绕过 CFG 防御机制的
攻击者是如何利用Windows RPC绕过 CFG 防御机制的
原文地址:https://iamelli0t.github.io/2021/04/10/RPC-Bypass-CFG.html
在利用浏览器渲染进程中的漏洞的时候,通常的做法是:首先,利用该漏洞获取用户模式下的任意内存读写原语,篡改DOM/js对象的vtable结构体,从而实现代码执行流的劫持。然后,通过ROP链调用VirtualProtect,将shellcode所在内存空间的属性修改为PAGE_EXECUTE_READWRITE,最后,通过ROP链将代码执行流跳转到shellcode。
发布时间:2021-04-21 18:33 |
阅读:2740 | 评论:0 |
标签:add函数 CFG CVE-2021-26411 pointer dereference RPC_MESSAGE Win
ClickHouse 在 windows 下编译调试
什么是 ClickHouse大数据时代,每一条数据都携带着一种信息,各种优传感器,网关,IOT 设备无时无刻都在用日志输出着自己的运行信息。这些信息被存储后经过多维度计算就组成了我们现在的大数据环境。为了便于计算,出现了非常多优秀的数据库及组件,他们都在自己擅长的领域解决着各种场景的问题,其中就有一款在 OLAP 场景下,以惊艳的性能指标横空出世的数据库, 这就是 ClickHouse 。它是保守的俄罗斯一家商业公司 Yandex (类似中国的百度)在 2016 年开源的。
发布时间:2021-04-20 17:58 |
阅读:4540 | 评论:0 |
标签:windows
【漏洞通告】Chrome安全问题导致Windows版微信任意代码执行漏洞
1. 通告信息近日,安识科技A-Team团队监测发现Chrome安全问题可以导致Windows版微信任意代码执行漏洞。攻击者可直接构造恶意请求执行任意代码,控制用户PC。对此,安识科技建议广大用户及时做好软件补丁更新,并做好资产自查以及预防工作,以免遭受黑客攻击。 2. 漏洞概述攻击者可以通过微信发送一个特制的web链接,用户一旦点击链接,Windows版微信便会加载执行攻击者构造恶意代码,最终使攻击者控制用户PC。3. 漏洞危害攻击者可以利用此漏洞执行任意代码,控制用户PC,存在极大的危害。
【TPSA-21-12】关于Chrome存在安全问题可能影响Windows版本微信的通告
近日,腾讯安全应急响应中心(TSRC)收到安全报告:Google Chrome使用的V8引擎存在一处安全问题,该问题可能会影响Windows微信及使用该引擎的软件。TSRC收到报告后立即联合业务团队进行修复,现已紧急发布新版本修复该问题,Windows微信会自动升级,用户也可以通过“设置”-“关于微信”-“升级版本”升级到最新版(3.2.1.141及以上)。在此向青藤云安全、杭州安恒信息技术股份有限公司致以诚挚的感谢,他们秉承负责任的漏洞报告流程第一时间同步了安全情报,保障了广大互联网用户。也欢迎大家通过腾讯安全响应中心(TSRC)向我们提交安全问题,共同助力互联网的安全生态建设。
实例分析某 Windows 下第三方视频客户端的“虫洞”利用
作者:0xcc公众号:非尝咸鱼贩这个公众号一直都在写 iOS 和 mac 相关的,这一篇来换一换口味。这个问题是某个第三方软件的远程代码执行漏洞,结合了本地 TCP 端口的分析、Windows 的 URL Scheme 机制的知识,已经报给相关厂商进行修复。一些 PC 端软件通常会在本地监听固定的端口,通过 http 服务的方式向任意浏览器提供后门调用。虽然方便了网页前端开发,却添加了新的攻击面,甚至产生 Web 层面的安全漏洞。首先使用 sysinternals 工具包里的 TCPView 可以观察到一个第三方的系统服务在 0.0.0.0 上监听了一个 TCP 端口。
发布时间:2021-04-16 19:05 |
阅读:5550 | 评论:0 |
标签:windows
Project Zero 对Windows Server Containers 容器逃逸漏洞的研究
这是一篇简短的研究文章, 内容涉及我在Windows Server Containers上进行的一项研究项目,Microsoft在2021年3月修复了我在Windows Server Containers容器中发现的四个特权提升漏洞。0x01 Windows容器介绍Windows 10及其与之对应的服务器增加了对应用程序容器化的支持。Windows中的实现在概念上与Linux容器相似,但是也有很大的不同。众所周知的Docker平台支持Windows容器,从而可以使相关项目(例如在Windows上运行的Kubernetes)可用。你可以在MSDN上的Windows容器上阅读一些背景知识。
【2021HW | 蓝队干货】Windows手工入侵排查思路
Bypass Author Bypass Bypass 致力于分享原创高质量干货,包括但不限于:渗透测试、WAF绕过、代码审计、安全运维。 闻道有先后,术业有专攻,如是而已。 Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。
利用Windows RpcSs服务进行提权
#权限提升 20个 声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言这种提权方式在2020年8-9月时@sailay1996在他的Github就放出了EXP,当时测试这个EXP时发现只能用于本地测试,无法在实战场景中应用(能力有限,不会编写),网上的复现文章也都是在本地测试的。昨天好友@Arenid给我投稿了这种提权方式的复现文章,又花了点时间重新看了一遍,根据他的文章补充了在实战场景中的应用。
Windows手工入侵排查思路
Windows系统被入侵后,通常会导致系统资源占用过高、异常端口和进程、可疑的账号或文件等,给业务系统带来不稳定等诸多问题。一些病毒木马会随着计算机启动而启动并获取一定的控制权,启动方式多种多样,比如注册表、服务、计划任务等,这些都是需要重点排查的地方。另外,需要重点关注服务器日志信息,并从里面挖掘有价值的信息。基于以上,我们总结了Windows服务器入侵排查的思路,从Windows入侵现象、启动方式、安全日志等方面,对服务器最容易出现安全问题的地方进行入手排查。01、检查系统账号(1)检查远程管理端口是否对公网开放,服务器是否存在弱口令。
【安全热点周报】第189期:CVE-2021-24086,Windows TCP/IP拒绝服务漏洞POC已公开
#安全监测报告 132个
利用Windows RPC绕过CFG防护机制
点击上方蓝字关注我们概述控制流保护(CFG)是微软在Windows 8.1 update 3和Windows 10中启用的一种抵御内存泄露攻击的新机制,用于阻止针对可执行文件间接调用的恶意利用。研究人员在分析CVE-2021-26411漏洞样本时,发现了一种使用Windows PRC(远程调用)绕过CFG防护机制的新方法。CVE-2021-26411漏洞回顾CVE-2021-26411是Blink渲染引擎的UAF漏洞。
使用Sysmon和Winlogbeat打造Windows平台的HIDS
介绍https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysmonSysmon是微软的一款免费的轻量级系统监控工具。它通过系统服务和驱动程序实现记录进程创建,网络连接以及文件创建时间更改的详细信息,并把相关的信息写入并展示在windows的日志事件里。我们可以通过读取Windows的日志,了解Windows的安全状态。
发布时间:2021-04-12 17:59 |
阅读:5972 | 评论:0 |
标签:windows
Pwn2Own 2021现场实录:苹果失宠?Zoom、Chrome、Windows被入侵
今年的Pwn2Own 黑客大赛,依旧是白帽黑客的狂欢。作为Pwn2Own历史上规模最大的活动之一,此次累计有23次独立的黑客尝试,涉及10 种不同产品,包括网络浏览器、虚拟化、服务器等。尝试目标则涵盖了Microsoft Exchange、Parallels、Windows 10、Microsoft Teams、Ubuntu、Oracle VirtualBox、Zoom、Google Chrome和Microsoft Edge。总奖金池超过150万美元的奖励,成为众多白帽黑客的“囊中之物”。
“C语言之父”40年前搞的操作系统复活!Linux、Windows都借鉴过它
本文经AI新媒体量子位(ID:QbitAI)授权转载,转载请联系出处贾浩楠 发自 凹非寺 Plan 9操作系统?没听说过….但事实是,连Linux、Windows都得叫它一声“老大哥”!没错,这套40年前由“C语言之父”开发的操作系统,如今仍然在深刻影响着Linux、Windows。最新消息的消息是,拥有Plan 9版权的美国贝尔实验室,刚刚宣布下放版权给开发者社区。就是说,Plan 9这个在幕后默默影响行业40年的分布式操作系统,要正式“复活”了。Plan 9系统是干什么的?大名鼎鼎的贝尔实验室,是C语言,以及Linux系统的前身Unix诞生地。
Windows渗透基础大全
Windows发展历史Microsoft Windows,是美国微软公司研发的一套操作系统,它问世于1985年,起初仅仅是DOS模拟环境,后续的系统版本由于微软不断的更新升级,不但易用,也慢慢的成为家家户户人们最喜爱的操作系统。
Hvv- Windows 下载执行命令 Bypass
点击蓝字 · 关注我们背景一年一度的HVV又要开始啦,在内网横向的时候,可能在Webshell 上传大文件、或SMBEXEC、xp_cmdshell 执行的时候,需要利用系统自带的下载命令,直接下载C2马执行。我在这里就不说如何用DOS命令写执行文件了,(主要利用certutil 进行加密,分段写入,再利用certutil解密还原)再做下载了,遇到稍微大一些的文件,着实有点费劲。
CVE-2021-24093 Windows图形组件远程执行代码漏洞分析
一、前言
Windows图形组件DWrite库是用于高质量文本呈现的用户模式动态库,DWrite库存在远程代码执行漏洞。目前已有POC,POC可以实现任意地址写任意内容。
基于此我们做了分析,分析后得知字体库文件中的”maxp”表内容存在错误数据时,DWrite库使用此数据计算字体所需内存,导致分配内存过小,程序读取字体库中的数据写入数组并越界写入 到另外一个数据结构中,后续将结构中数据作为指针操作其中内容,写入数据和指针都可控。通过分析补丁,补丁修补方案为:取出”maxp”表的另一字段再加4,比较之前畸形数据得到较大值,以此计算需要分配内存大小。
CVE-2021-24093 Windows 图形组件远程执行代码漏洞分析
作者:天融信阿尔法实验室原文链接:https://mp.weixin.qq.com/s/8GOXFfQZOvGB7W-sD6osLA0x00前言Windows图形组件DWrite库是用于高质量文本呈现的用户模式动态库,DWrite库存在远程代码执行漏洞。目前已有POC,POC可以实现任意地址写任意内容。基于此我们做了分析,分析后得知字体库文件中的”maxp”表内容存在错误数据时,DWrite库使用此数据计算字体所需内存,导致分配内存过小,程序读取字体库中的数据写入数组并越界写入 到另外一个数据结构中,后续将结构中数据作为指针操作其中内容,写入数据和指针都可控。
4 安全计算环境 4.4终端设备-Windows
终端安全测评主要涉及4个方面的内容,分别是:身份鉴别、访问控制、入侵防范、恶意代码防范。本节以Windows检查列表为例,说明Windows系统的安全配置检查方法。
针对 Windows 的恶意软件正构筑僵尸网络
早在 2018 年,安全研究人员就已经发现了后被命名为 Purple Fox 的 Rootkit 恶意软件,起初攻击者主要利用网络钓鱼电子邮件和漏洞利用工具包进行传播。然而 Guardicore 安全研究人员 Amit Serper 和 Ophir harpaz 在一篇博客文章中指出:在利用了一种全新的感染技术之后,该恶意软件已能够在 Windows 设备间更迅速地传播,且僵尸网络的规模也在不断增长。
研究人员指出,该恶意软件正在对使用弱密码和面向互联网的 Windows 计算机发起新一轮攻击。此外通过利用新的感染技术,其传播速度也得到了极大的增强。
国内外常见Windows管理组(附案例)
#其他笔记 22个 声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。0x01 前言以下几个管理组名称是笔者2012-2013年对国外目标进行渗透测试时遇到的一些,因为他们使用了不同语言的操作系统,所以才会出现各式各样的管理组名称,这样就可能导致在Webshell或命令终端中执行命令时因字符编码不同而出现乱码的情况。
发布时间:2021-03-23 09:10 |
阅读:21080 | 评论:0 |
标签:windows
PHPSTROM远程调试php项目
## 前言
对于调试 php 项目可以说是很熟悉了,网络上的文章也有很多。前段时间朋友询问我,是否清楚 php 远程调试。远程调试只在 java 项目上操作过,也是按照网上的文章照猫画虎,对于 php 的远程调试自然不是很清楚。前段时间又很忙,没有时间去操作,后来朋友跟我说他弄好了。我想,在学习方面,我岂能落于人后。
HVV之Windows应急排查tricks
0x01 序言
HVV开始,之前分享Linux下的入侵排查,现在补上Windows的入侵排查tricks,最近查看疑似问题终端比较多,个人感觉这些tricks应该可以帮助大家。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
0x02 应急排查思路
检查系统账号安全
1、查看服务器是否有弱口令
询问服务器管理员
2、 远程管理端口是否对公网开放。
谷歌曝光7个黑客利用的零日漏洞:iOS、Android和Windows无一幸免
随着人们掌握的安全漏洞知识越来越多,随之而来的则是越来越多的漏洞被发现和利用。 据外媒报道,近日, 谷歌的互联网安全团队“Project Zero”披露了2020年7个零日漏洞,黑客利用这些漏洞入侵了iOS、Android和Windows设备。 研究人员表示,黑客通过“水坑攻击”来利用操控这些漏洞。 即先通过分析攻击目标的上网活动规律,寻找攻击目标经常访问的网站的弱点,然后将此网站“攻破”并植入攻击代码,一旦攻击目标访问该网站就会“中招”。
Project Zero披露7个零日漏洞:iOS/Android/Windows均受影响
更多全球网络安全资讯尽在邑安全谷歌旗下的安全团队 Project Zero 近日更新博文,表示在 2020 年已经有证据表明黑客成功利用 7 个零日漏洞入侵 Android、Windows 和 iOS 设备。这些漏洞都是通过水坑攻击(watering hole attack)方式提供的,恶意代码被插入到数十个面向特定目标和人群的网站。黑客实施的一些代码和策略引起了谷歌安全团队的特别关注:“虽然所有平台都部署了混淆(obfuscation)和反分析检查,但是每个平台的混淆是不同的。
【Windows】日志删除恢复
取证知道 Author 小知 取证知道 一群电子数据取证爱好者不定期分享取证经验和心得体会的广场,欢迎投稿 一、修改日志长度,伪删除通过上次的介绍,大家已经知道windows日志真正的存储在数据块中的事件记录中,目前有一种删除方法是通过修改日志事件记录的长度,导致从系统看的话类似记录被删除。我们看以下这个例子,原日志有52条记录,通过修改第51条日志的记录,将第51条日志的记录长度覆盖第52条,并修改相应参数,让其通过Windows的校验即可 。
发布时间:2021-03-21 00:27 |
阅读:23557 | 评论:0 |
标签:windows
win7系统非MBR分区激活windows7系统具体的设置方法
今天小编告诉大家如何对win7系统非MBR分区激活windows7系统进行设置,可能很多用户都不知道怎么对win7系统非MBR分区激活windows7系统进行设置,但当我们遇到对win7系统非MBR分区激活windows7系统的设置方法非常简单,只需要 1、首先看一下此时系统是处于未激活状态或者激活时发生错误。
发布时间:2021-03-20 16:33 |
阅读:20036 | 评论:0 |
标签:windows
推荐|最好用的Windows提权合集项目
给大家推荐一个同事呕心沥血写的Windows提权项目,项目一直在持续更新,欢迎大家持续关注并给予支持,目前已有827stars。作者ID:Ascotbe项目地址:https
干货|最好用的Windows提权合集项目
给大家推荐一个同事呕心沥血写的Windows提权项目,项目一直在持续更新,欢迎大家持续关注并给予支持,目前已有827stars。作者ID:Ascotbe项目地址:https
Necro upgrades again, using Tor + dynamic domain DGA and aiming at both Windows & Linux
Overview
Back in January, we blogged about a new botnet Necro and shortly after our report, it stopped spreading. On March 2nd, we noticed a new variant of Necro showing up on our BotMon tracking rada
发布时间:2021-03-18 23:44 |
阅读:19646 | 评论:0 |
标签:Necro Freakout DGA CVE-2021-3129 CVE-2020-14882 DDoS r77-roo
公告
❤永久免费的Hackdig,帮你成为掌握黑客技术的英雄