Windows

2018年8月下旬,一名研究人员(SandboxEscaper)公开了一个Windows本地权限提升0day漏洞。在互联网上公开后不到两周时间内,该漏洞就已经被恶意软件攻击者所使用。这件事情在InfoSec社区造成了一定程度的混乱,也引起了FortiGuard实验室的警觉。
2018年春季,ZDI从腾讯ZhanluLab的ChenNan及RanchoIce手中购买了5个针对DirectX内核接口的漏洞,利用这些漏洞成功从微软获取了4个CVE编号。本文分析了这些漏洞,并且提供了相应的PoC代码(代码已在我们网站上公布)。
VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。
VBScript引擎处理内存中对象的方式中存在一个远程执行代码漏洞。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。
这次是内核中一个 uaf 漏洞的学习,刚好看到 wjllz 师傅的在看雪上的 windows 内核系列文章,就也一起分析了 cve-2015-0057 这个洞。
本文将介绍如何使用PowerShell脚本来绕过UAC,也就是说,我们将使用属于本地管理员的中级完整性级别(Medium Integrity)的进程来生成高级完整性级别(High Integrity)的进程。
本文以较短的篇幅介绍了如何滥用库文件实现本地持久化,也介绍了如何针对性寻找这类攻击特征。
在我们的日常监测过程中,发现有两个前所未见、经过严重混淆的脚本,成功通过了基于文件的反病毒检测,并且动态地将信息窃取Payload加载到内存中。
我在研究及研发方面非常喜欢使用Process Monitor这款工具。在开发攻击型安全工具时,我经常使用Procmon来监控这些工具如何与Windows交互以及相应的检测方法。
Mimikatz能够从内存中提取出明文形式的密码,因此在内部渗透测试或者红队行动中被广泛应用,攻击者也会在攻击活动中大量使用这款工具。尽管微软推出了一个安全补丁,该补丁同样适用于版本较老的操作系统。