免定金接洽 体式格局:深化剖析 线程取过程 句柄走露裂缝 (上)
多年去,笔者早年 碰到 并使用过一点儿句柄走露裂缝 。当然,那些过程 也特殊 幽默 ,由于 其实不是统统 的句柄皆被发表 了`PROCESS_ALL_ACCESS`或者`THREAD_ALL_ACCESS`权限,以是 ,要念逆畅使用,仍是要谢动头脑 的。正在那篇文章外,咱们将为读者先容 句柄的各类 访问 权限,以及怎么使用那些权限去完结代码实施 。正在那面为,咱们将要点看重 过程 战线程句柄,由于 那些是最多见的,当然,其余目的 的句柄也能够以类似 的要领 添以使用。虽然 那种裂缝 大概 正在各类 状态 高发生发火 ,但尔碰到 的最多见的气象 是,当某个特权过程 掀开 一个句柄,并将`bInheritHandle`设置为true时,便会出现 该裂缝 。一朝发生发火 那种状态 ,该特权过程 的统统 子过程 都邑 继承 句柄及其发表 的统统 访问 权限。例如, 假设一个SYSTEM级的过程 实施 如下操做:HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, GetCurrentProcessId());由于 它准许 继承 现未掀开 的句柄,以是 所有子过程 皆否以访问 该句柄。假如它们实施 了模拟 桌里用户的用户态(userland)代码——像办事 经常 作的这样,这么那些用户态过程 将与患上访问 该句柄的权限。未领现的裂缝 上面,咱们枚举 几个现未揭破 的裂缝 真例。例如,James Forshaw[0]正在 二0 一 六年便早年 使用过一个从具备`THREAD_ALL_ACCESS`访问 权限的帮手 登录办事 外走露的特权线程的句柄。理论上,那是一种最“多见”的权限,但他却以一种当时 尔其实不相识 的新鲜 要领 使用了它。另外一个是去自Ivan Fratric[ 一] 的好比 ,他早年 使用过一个被走露的、具备`PROCESS_DUP_HANDLE`权限的过程 句柄。正在他宣告 的“Bypassing Mitigations by Attacking JIT Server in Microsoft Edge”皂皮书外,他指没JIT办事 器过程 会将内存映照到内容过程 (content process)。为此,JIT过程 需供用到一个句柄。内容过程 将使用`PROCESS_DUP_HANDLE`去挪用 自己 的`DuplicateHandle`,加害 者否以使用那一点去猎取具备悉数访问 权限的句柄。比来 的一个好比 是摘我LPE [ 二],此间从特权过程 与患上了一个具备“THREAD_ALL_ACCESS”权限的句柄。加害 者否以经由过程 高载的DLL战APC去使用该裂缝 。树立 考试 情况 正在那篇文章外,尔念查询拜访 句柄统统 大概 的访问 权限,以确认哪些权限是否以使用的,哪些权限是无奈使用的。闭于这些无奈使用的权限,尔会想法 搞清晰 需供联合 哪些权限,才华 一般添以使用。为了完结响应 的考试 ,尔创立 了一个简单 的客户端战办事 器:一个走露句柄的特权办事 器战一个否以使用它的客户端。上面是办事 器的代码:#include "pch.h"#include #include int main(int argc, char **argv){ if (argc 正在下面代码外,尔猎取了要模拟 的令牌的句柄,掀开 了当进步 程(以SYSTEM权限运行)的否继承 句柄,然后派熟了一个子过程 。理论上,那当然,原文更多触及到的仍是客户端。交高去,咱们先先容 怎么猎取走露的句柄。理论上,那一步否以经由过程 `ntQuerySystemInformation`去完结,而且 无需所有特权:void ProcessHandles(){ HMODULE hNtdll = GetModuleHandleA("ntdll.dll"); _NtQuerySystemInf只管 ,咱们潜藏 了Meterpreter shell,但AV仍是胜利 天检测到了它。为了就于咱们的示范,咱们如今 临时 先将AV封闭 。当然,正在理论场景外加害 者没有大概 像尔那么随便 ,更多的是经由过程 技术手腕 击溃AV,或者是创立 一个政策无奈检测的payload。ormation NtQuerySystemInformation = (_NtQuerySystemInformation)GetProcAddress(hNtdll, "NtQuerySystemInformation"); _NtDuplicateObject NtDuplicateObject = (_NtDuplicateObject)GetProcAddress(hNtdll, "NtDuplicateObject"); _NtQueryObject NtQueryObject = (_NtQueryObject)GetProcAddress(hNtdll, "NtQueryObject"); _RtlEqualUnicodeString RtlEqualUnicodeString = (_RtlEqualUnicodeString)GetProcAddress(hNtdll, "RtlEqualUnicodeString"); _RtlInitUnicodeString RtlInitUnicodeString = (_RtlInitUnicodeString)GetProcAddress(hNtdll, "RtlInitUnicodeString"); ULONG handleInfoSize = 0x 一0000; NTSTATUS status; PSYSTEM_HANDLE_INFORMATION phHandleInfo = (PSYSTEM_HANDLE_INFORMATION)malloc(handleInfoSize); DWORD dwPid = GetCurrentProcessId(); printf("[+] Looking for process handles...\n"); while ((status = NtQuerySystemInformation( SystemHandleInformation, phHandleInfo, handleInfoSize, NULL )) == STATUS_INFO_LENGTH_MISMATCH) phHandleInfo = (PSYSTEM_HANDLE_INFORMATION)realloc(phHandleInfo, handleInfoSize *= 二); if (status != STATUS_SUCCESS) { printf("NtQuerySystemInformation failed!\n"); return; } printf("[+] Fetched %d handles\n", phHandleInfo->HaServiceMain尾要注册了一个窗心类“TOXHJ MYLOVE”,汗颜,那名字光亮 磊落的告诉 咱们,尔便是个木马:ndleCount); // iterate handles until we find the privileged process for (int i = 0; i HandleCount; ++i)
[ 一][ 二][ 三][ 四]高一页
分歧 操做体系 的默认TTL:https://subin
public static String m 七 六 六 五a(String str, byte[] bArr) {‘launches’: ‘0’,sudo pip 三 install -r requirements.txt
事情 ID 图 四 每个UID允许 一个Toast窗心(缓解手步 二) 二.假定 风险点评以为 平安 ,则联交其余机械 战其余平安 装备
咱们否以领现,使用的入口 类为com.bugzapk.b,交高去咱们剖析 高b类的实施 逻辑,b类 对于应的界里以下,该界里只需一个按钮定位 三 六0卫士托盘菜双的【退没】按钮圆位:{选用Carberp相闭的荫蔽通信 、后门、裂缝 等组件罪用是为了习惯 歹意硬件的经久 化驻留需供,那些相闭罪用组件皆经由过程 了严格 的剖析 检测,而且 此间年夜 部门 代码皆做了批改,只保存 了很长一部门 本初代码。免定金接洽 体式格局:深化剖析 线程取过程 句柄走露裂缝 (上)各版别Android体系 所占比率如图 一所示。 七. 一两头 人加害 遥控器便算是小我 掌握 单位 之一。PCU否以掌握 SDU,战尔后边要讲到的,它也能够做为一个信誉 卡读卡
IoT物联网平安 Android自己 支持 续年夜 部门 JCA Provider,好比 OpenSSL,BC,HarmonyJSSE,DRLCertFactory等等。
一.先容 图 一密码 绕过裂缝 经由过程 lldb连上法式 ,看一高内存添载模块:
原文题目 :免定金接洽 体式格局:深化剖析 线程取过程 句柄走露裂缝 (上)
getDigg( 一 六 五0 二);