天天日天天干天天搞_亚洲性色AV无码久久精品色欲_亚洲精品免费在线观看_午夜视频在线免费观看

時代商業(yè)網(wǎng)
ad2

安全專家研發(fā)NoFilter工具,3種攻擊方式獲取Win10/Win11

來源:IT之家  時間:2023-08-24 13:37  編輯:葉子琪   閱讀量:6459   

,安全研究人員近日研發(fā)了名為 NoFilter 的工具,通過濫用 Windows 篩選平臺,可以將用戶權(quán)限提升到 SYSTEM 級別(Windows 上的最高權(quán)限級別)。

IT之家注:Windows 篩選平臺 是一組 API 和系統(tǒng)服務(wù),提供用于創(chuàng)建網(wǎng)絡(luò)篩選應(yīng)用程序的平臺。

WFP API 允許開發(fā)人員編寫與在操作系統(tǒng)網(wǎng)絡(luò)堆棧中的多個層發(fā)生的數(shù)據(jù)包處理進(jìn)行交互的代碼,可以在網(wǎng)絡(luò)數(shù)據(jù)到達(dá)目標(biāo)之前對其進(jìn)行篩選和修改。

網(wǎng)絡(luò)安全公司 Deep Instinct 的研究人員開發(fā)了三種新的攻擊方法,在不留下太多痕跡、且不會被主流安全產(chǎn)品檢測到的情況下,提升用戶在 Windows 設(shè)備上的權(quán)限。

第一種方式使用 WFP 來復(fù)制訪問令牌,通過調(diào)用 NtQueryInformationProcess 函數(shù)獲取訪問令牌,然后再復(fù)制到要執(zhí)行的任務(wù)中。

第二種技術(shù)涉及觸發(fā) IPSec 連接并濫用 Print Spooler 服務(wù),然后將 SYSTEM 令牌插入到表中。

該工具使用 RpcOpenPrinter 函數(shù)按名稱檢索打印機的-handle。通過將名稱更改為“\127.0.0.1”,服務(wù)將連接到本地主機。

調(diào)用 RPC 之后,檢索 WfpAleQueryTokenById 的多個設(shè)備 IO 請求,從而獲取 SYSTEM 令牌。

第三種技術(shù)獲得登錄到受損系統(tǒng)的另一個用戶的令牌,操縱用戶服務(wù)。

研究人員表示,如果可以將訪問令牌添加到哈希表中,則可以使用登錄用戶的權(quán)限啟動進(jìn)程。

他查找以登錄用戶身份運行的遠(yuǎn)程過程調(diào)用服務(wù)器,并運行一個腳本來查找以域管理員身份運行的進(jìn)程,并公開一個 RPC 接口。

研究人員濫用了 OneSyncSvc 服務(wù)和 SyncController.dll,從而使用登錄用戶的權(quán)限啟動任意進(jìn)程。

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接,用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

鄭重聲明:此文內(nèi)容為本網(wǎng)站轉(zhuǎn)載企業(yè)宣傳資訊,目的在于傳播更多信息,與本站立場無關(guān)。僅供讀者參考,并請自行核實相關(guān)內(nèi)容。