- 我的订阅
- 科技
我们正处于一个信息大暴发的时代,每天都能产生数以百万计的新闻资讯!
虽然有大数据推荐,但面对海量数据,通过我们的调研发现,在一个小时的时间里,您通常无法真正有效地获取您感兴趣的资讯!
头条新闻资讯订阅,旨在帮助您收集感兴趣的资讯内容,并且在第一时间通知到您。可以有效节约您获取资讯的时间,避免错过一些关键信息。
安全专家研发 NoFilter 工具
安全研究人员近日研发了名为 NoFilter 的工具,通过滥用Windows筛选平台(WFP),可以将用户权限提升到SYSTEM级别(Windows上的最高权限级别)。
注:Windows筛选平台(WFP)是一组API和系统服务,提供用于创建网络筛选应用程序的平台。
WFPAPI允许开发人员编写与在操作系统网络堆栈中的多个层发生的数据包处理进行交互的代码,可以在网络数据到达目标之前对其进行筛选和修改。
网络安全公司DeepInstinct的研究人员开发了三种新的攻击方法,在不留下太多痕迹、且不会被主流安全产品检测到的情况下,提升用户在Windows设备上的权限。
第一种方式使用WFP来复制访问令牌(用于识别用户权限的代码),通过调用NtQueryInformationProcess函数获取访问令牌,然后再复制到要执行的任务中。
第二种技术涉及触发IPSec连接并滥用PrintSpooler服务,然后将SYSTEM令牌插入到表中。
该工具使用RpcOpenPrinter函数按名称检索打印机的-handle。通过将名称更改为“\\127.0.0.1”,服务将连接到本地主机。
调用RPC之后,检索WfpAleQueryTokenById的多个设备IO请求,从而获取SYSTEM令牌。
第三种技术获得登录到受损系统的另一个用户的令牌,操纵用户服务。
研究人员表示,如果可以将访问令牌添加到哈希表中,则可以使用登录用户的权限启动进程。
他查找以登录用户身份运行的远程过程调用(RPC)服务器,并运行一个脚本来查找以域管理员身份运行的进程,并公开一个RPC接口。
研究人员滥用了OneSyncSvc服务和 SyncController.dll,从而使用登录用户的权限启动任意进程。
以上内容为资讯信息快照,由td.fyun.cc爬虫进行采集并收录,本站未对信息做任何修改,信息内容不代表本站立场。
快照生成时间:2023-08-25 06:45:02
本站信息快照查询为非营利公共服务,如有侵权请联系我们进行删除。
信息原文地址:
