j4s0nh4ck
- 浏览: 278672 次
-
文章分类
- 全部博客 (276)
- burp+hydra暴力破解 (1)
- kali linux工具集 (6)
- kali (59)
- linux (54)
- password (14)
- web (63)
- 渗透测试 (50)
- windows (40)
- metasploit (9)
- 信息收集 (32)
- burp suit (4)
- 安全审计 (9)
- https://github.com/secretsquirrel/the-backdoor-factory (0)
- nmap (4)
- arachni (2)
- 工具 (5)
- sql (3)
- 网络 (2)
- 后渗透测试 (10)
- 内网 (5)
- 无线 (2)
- C (3)
- bios (1)
- RoR (12)
- mongodb (1)
- linxu (1)
- gdb (1)
- linux,虚拟化 (1)
- python (4)
最新评论
原文地址:https://code.google.com/p/google-security-research/issues/detail?id=118
平台:Windows 8.1 Update 32/64 bit(其他版本未测试)
Windows8更新的系统函数NtApphelpCacheControl(位于ahcache.sys)当新进程创建时允许缓存程序通用数据来达到快速重复使用的目的。普通用户可以查询缓存但是不能添加缓存实体,因为这个操作被限制为管理员权限。这是通过AhcVerifyAdminContext函数检查的。
但是该函数存在漏洞--它不正确检查调用者的伪装token来确定用户是否是管理员。它使用PsReferenceImpersonationToken函数读取调用者的伪装token,然后比较token中的user SID和LocalSystem的SID。它不检查token的伪装级别所以可以从本地系统进程中获得一个token来绕过检查。本PoC使用BITS服务和COM来获得伪装token,但是仍有可能存在其他办法来绕过。
在PoC中,创建一个缓存实体来进行UAC自动提权可执行文件(omputerDefaults.exe)。然后把缓存指向regsvr32的app compat实体,用来强制RedirectExe shim来重载regsvr32.exe。然而,可以使用任何可执行文件,技巧是找到一个合适的预存在的app compat配置。
[url]步骤:
1. 把AppCompatCache.exe和Testdll.dll放到磁盘
2. 确保使用了UAC,当前user是一个split-token admin,UAC设置为默认设置
3. 在命令行中运行AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll
4. 如果成功,那么将会出现一个以管理员权限运行的计算器。否则,重新运行步骤三,有时第一次运行的时候会出现caching/timing问题[/url]
AppCompat介绍:http://technet.microsoft.com/en-us/library/cc728440%28v=ws.10%29.aspx
split-token admin:http://michaelkleef.blogspot.com/2011/09/understanding-whats-in-user-token.html
split-token admin:概要的说,即使你是管理员,你也只能访问部分权限。
平台:Windows 8.1 Update 32/64 bit(其他版本未测试)
Windows8更新的系统函数NtApphelpCacheControl(位于ahcache.sys)当新进程创建时允许缓存程序通用数据来达到快速重复使用的目的。普通用户可以查询缓存但是不能添加缓存实体,因为这个操作被限制为管理员权限。这是通过AhcVerifyAdminContext函数检查的。
但是该函数存在漏洞--它不正确检查调用者的伪装token来确定用户是否是管理员。它使用PsReferenceImpersonationToken函数读取调用者的伪装token,然后比较token中的user SID和LocalSystem的SID。它不检查token的伪装级别所以可以从本地系统进程中获得一个token来绕过检查。本PoC使用BITS服务和COM来获得伪装token,但是仍有可能存在其他办法来绕过。
在PoC中,创建一个缓存实体来进行UAC自动提权可执行文件(omputerDefaults.exe)。然后把缓存指向regsvr32的app compat实体,用来强制RedirectExe shim来重载regsvr32.exe。然而,可以使用任何可执行文件,技巧是找到一个合适的预存在的app compat配置。
[url]步骤:
1. 把AppCompatCache.exe和Testdll.dll放到磁盘
2. 确保使用了UAC,当前user是一个split-token admin,UAC设置为默认设置
3. 在命令行中运行AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll
4. 如果成功,那么将会出现一个以管理员权限运行的计算器。否则,重新运行步骤三,有时第一次运行的时候会出现caching/timing问题[/url]
AppCompat介绍:http://technet.microsoft.com/en-us/library/cc728440%28v=ws.10%29.aspx
split-token admin:http://michaelkleef.blogspot.com/2011/09/understanding-whats-in-user-token.html
split-token admin:概要的说,即使你是管理员,你也只能访问部分权限。
分享到:
发表评论
-
[图] windows 10
2015-08-18 20:37 284网上下载的图片,忘了来源 -
windows提权集合
2015-06-30 00:23 541https://blog.netspi.com/5-ways- ... -
[转]Access to every PC and become local Admin
2015-06-29 21:50 509原文地址:http://www.gosecure.it/blo ... -
[转]Top Five Ways SpiderLabs Got Domain Admin on Your Internal Network
2015-06-29 21:46 1476原文地址:https://www.trustwave.com/ ... -
[转]如何获得window管理员权限
2015-06-29 21:21 448引用A tutorial on how to get into ... -
Window提权基本步骤
2015-06-03 22:00 754原文地址: http://www.fuzzysecurity. ... -
[转]malware persistence
2015-05-06 23:46 384原文地址:http://jumpespjump.blogspo ... -
[转]backdoor a windows domain
2015-05-06 22:56 473原文地址:http://jumpespjump.blogspo ... -
[译]解密MSSQL密码
2015-03-26 00:43 2821原文地址: https://blog.ne ... -
[转]badsamba
2015-03-20 00:55 301原文地址:http://blog.gdssecurity.co ... -
window增加硬盘性能方法
2015-02-05 01:03 337参考地址:http://way2h.blogspot.com/ ... -
[译]Skeleton Key Malware & Mimikatz
2015-01-28 20:29 771原文地址: http://adsecurity.org/?p= ... -
绕过PowerShell执行策略的15种方法
2015-01-28 02:27 847https://blog.netspi.com/15-ways ... -
[译]Veil-Pillage
2015-01-23 03:09 800原文地址:http://resources.infosecin ... -
[翻译]oledump: Extracting Embedded EXE From DOC
2015-01-04 22:40 915原文地址:http://blog.didierstevens. ... -
[工具]volatility----Windows内存取证
2015-01-04 22:01 1518下载地址:https://github.com/volatil ... -
[译]使用Volatility从memory dump获得密码
2014-12-30 12:27 3740原文地址:https://cyberarms.wordpres ... -
vmss2core将VMware镜像转换成memory dump
2014-12-26 23:59 0参考:http://kb.vmware.com/selfser ... -
Windows工具集
2014-12-25 00:54 502参考:https://community.rapid7.com ... -
Kerberos攻击
2014-12-18 01:39 595参考: 1. http://securityweekly.co ...
相关推荐
golang.org/x/sys/windows
win10安装git报错 fatal:open /dev/null or dup failed: No such file or directory错误,将该文件复制到C:\Windows\System32\drivers 替换掉原有的null.sys文件重启即可
修复错误:Windows 操作系统无法将依赖项导出到供应商目录。 修复镜像导出子包到供应商目录错误。 错误 1 修复错误:Windows 操作系统无法将依赖项导出到供应商目录。 因为获取包后的 Windows 文件系统权限将无法...
device=himem.sys /testmem:off devicehigh=ramfd.sys DEVICEHIGH=QCDROM.SYS /D:PATACD01 DEVICEHIGH=GCDROM.SYS /D:SATACD01 /C0 DEVICEHIGH=GCDROM.SYS /D:SATACD02 /C1 DEVICEHIGH=GCDROM.SYS /D:SATACD03 /C2 ...
│─sys //系统核心目录 │ │─apps //应用目录 │ │─class //第三方库类目录 │ │─errors //系统错误提示目录 │ │─libs //系统常量配置目录 │ │─system //CI框架目录 │─template //模板目录 ...
NULL 博文链接:https://lyh7609.iteye.com/blog/516672
golang.org/x 包容易被墙,所以上传上来。 使用时解压到 gopath 目录的go\src 文件夹下。
官方API文档https://github.com/tootsuite/documentation/blob/master/Using-the-API/API.md示例应用程序Android应用程序https://github.com/sys1yagi/DroiDon入门Mastodon4j在jitpack中发布。 将其添加到存储库末尾...
注: 图片选择/拍照->裁剪->压缩 整个流程的操作已经串起到下面的库中 PhotoOut PicCrop 对ucrop的封装工具类,让其使用更加快捷. ...如果以后ucrop以后升级,那么本工具类只需要改CropConfig里字段就可以....
2. 修改 vim /usr/local/rxtx/rxtx-2.2pre2/./src/RawImp.c 中把#include <sys/io.h> 改成 #include <sys/uio.h> 3. 在/usr/include/linux/version.h 文件中添加 #define UTS_RELEASE "4.9.201-tegra" 其中 4.9.201-...
在微软4月14日补丁日发布的补丁中,有一个针对IIS服务器的远程代码执行漏洞危害非常大, 漏洞信息 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此...
主要给大家介绍了关于在MySQL中报错:Can't find file: './mysql/plugin.frm'的解决方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧...
Linux与Windows双系统安装,让你体验双系统相互编程的乐趣
说明:实现 liunx shell终端,在线文件编辑查看,脚本管理执行,mysql,redis在线数据操作以及...6、linux版本需要对mayfly-go-linux 添加可执行权限chmod +x mayfly-go-linux,执行:nohup ./mayfly-go-linux & 即可
arm-openwrt-linux-g++ -c record.c -I./include -o ./obj/record.o In file included from ./include/alsa/asoundlib.h:32:0, from record.c:13: /home/rootroot/sogou/toolchain/include/sys/poll.h:1:2: warning...
最近买了个80C51单片机,在安装USB转串口CH340驱动的时候,安装失败,解决过程中不小心替换了/windows/system32/drivers/serenum.sys文件导致数字签名问题,现找到对应于win7,win8和xp系统的该文件,win7系统亲测...
lint net sys text time tools 解决依赖报错! go语言 下载依赖 package golang.org/x/net/http2/hpack: unrecognized import path "golang.org/x/net/http2/hpack" (https fetch: Get ...
使用git Bash here闪退并生成mintty.exe.stackdump文件 cmd使用git 报错 fatal:open /dev/null or dup failed: No such file or directory 并弹出mitty.dump文件 使用方法见我的CSDN
先别急着拷进诺基亚N900,要作一个改动,下载附件解压,把附件中的rover.sys复制进软件包中名为dosbox的文件夹中(此文件夹中应该包含pal文件夹,rich3文件夹及dosbox-0.73.conf,mapper.txt), (这个rover.sys...
登录地址:http://xxx.com/sys_admin/sys_login.aspx 测试用户名及密码:admin admin 系统功能模块:管理员用户、部门、角色、用户,菜单,配置,系统日志等。 比赛功能模块:大赛设置,大赛评分项设置,大赛评委...