您的位置:中国金融观察网 > 资讯 >

安全专家研发NoFilter工具,3种攻击方式获取Win10/Win11

2023-08-25 09:28 来源:IT之家   

,安全研究人员近日研发了名为 NoFilter 的工具,通过滥用 Windows 筛选平台,可以将用户权限提升到 SYSTEM 级别(Windows 上的最高权限级别)。

IT之家注:Windows 筛选平台 是一组 API 和系统服务,提供用于创建网络筛选应用程序的平台。

WFP API 允许开发人员编写与在操作系统网络堆栈中的多个层发生的数据包处理进行交互的代码,可以在网络数据到达目标之前对其进行筛选和修改。

网络安全公司 Deep Instinct 的研究人员开发了三种新的攻击方法,在不留下太多痕迹、且不会被主流安全产品检测到的情况下,提升用户在 Windows 设备上的权限。

第一种方式使用 WFP 来复制访问令牌,通过调用 NtQueryInformationProcess 函数获取访问令牌,然后再复制到要执行的任务中。

第二种技术涉及触发 IPSec 连接并滥用 Print Spooler 服务,然后将 SYSTEM 令牌插入到表中。

该工具使用 RpcOpenPrinter 函数按名称检索打印机的-handle。通过将名称更改为“\\127.0.0.1”,服务将连接到本地主机。

调用 RPC 之后,检索 WfpAleQueryTokenById 的多个设备 IO 请求,从而获取 SYSTEM 令牌。

第三种技术获得登录到受损系统的另一个用户的令牌,操纵用户服务。

研究人员表示,如果可以将访问令牌添加到哈希表中,则可以使用登录用户的权限启动进程。

他查找以登录用户身份运行的远程过程调用服务器,并运行一个脚本来查找以域管理员身份运行的进程,并公开一个 RPC 接口。

研究人员滥用了 OneSyncSvc 服务和 SyncController.dll,从而使用登录用户的权限启动任意进程。

广告声明:文内含有的对外跳转链接,用于传递更多信息,节省甄选时间,结果仅供参考,IT之家所有文章均包含本声明。

郑重声明:此文内容为本网站转载企业宣传资讯,目的在于传播更多信息,与本站立场无关。仅供读者参考,并请自行核实相关内容。

栏目导读
你与“诗和远方”之间,只差一个TA

你与“诗和远方”之间,只差一个TA

第一次看到Poppy的时候,相信很多人会说这个姑娘真的很精致优雅。没错,小红书里的Poppy笑起来很甜,举手投足都很自信很淡定。但很难想象P...

2023-10-13 15:34
交通银行助力世界数字经济大会打造更鲜活的数字应用场景

交通银行助力世界数字经济大会打造更鲜活的数字

2023世界数字经济大会暨第十三届智慧城市与智能经济博览会于10月13日至15日在宁波举行,交通银行连续三年作为支持单位参与大会。作为唯一参...

2023-10-13 12:57
进军超深层,钻出“地下珠峰”

进军超深层,钻出“地下珠峰”

塔里木油田钻井现场塔里木油田公司供图位于沙漠腹地的塔中第三联合站塔里木油田公司供图在塔里木这个我国陆上最大的含油气盆地,分布着全国80%以上...

2022-08-18 11:43
四款人民视频融媒新品在2022智能视听大会上线

四款人民视频融媒新品在2022智能视听大会上

8月16日至18日,以“虚实共生数字新未来”为主题的2022(GIAC)智能视听大会在山东省青岛市举办。在开幕式上,人民视频联合行业头部生态...

2022-08-18 11:42
焦点
头条关注
最新新闻