专家研发NoFilter工具,3种攻击方式获取Win10/Win11系统最高权限
注:Windows 筛选平台 (WFP) 是一组 API 和系统服务,提供用于创建网络筛选应用程序的平台。
WFP API 允许开发人员编写与在操作系统网络堆栈中的多个层发生的数据包处理进行交互的代码,可以在网络数据到达目标之前对其进行筛选和修改。
网络安全公司 Deep Instinct 的研究人员开发了三种新的攻击方法,在不留下太多痕迹、且不会被主流安全产品检测到的情况下,提升用户在 Windows 设备上的权限。
第一种方式使用 WFP 来复制访问令牌(用于识别用户权限的代码),通过调用 NtQueryInformationProcess 函数获取访问令牌,然后再复制到要执行的任务中。
第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务,然后将 SYSTEM 令牌插入到表中。
该工具使用 RpcOpenPrinter 函数按名称检索打印机的-handle。通过将名称更改为“\\127.0.0.1”,服务将连接到本地主机。
调用 RPC 之后,检索 WfpAleQueryTokenById 的多个设备 IO 请求,从而获取 SYSTEM 令牌。
第三种技术获得登录到受损系统的另一个用户的令牌,操纵用户服务。
研究人员表示,如果可以将访问令牌添加到哈希表中,则可以使用登录用户的权限启动进程。
他查找以登录用户身份运行的远程过程调用(RPC)服务器,并运行一个脚本来查找以域管理员身份运行的进程,并公开一个 RPC 接口。
研究人员滥用了 OneSyncSvc 服务和 SyncController.dll,从而使用登录用户的权限启动任意进程。
免责声明:本文为转载,非本网原创内容,不代表本网观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。