免定金联系方式:深化分析线程与进程句柄走漏缝隙(上)
多年来,笔者从前遇到并运用过一些句柄走漏缝隙。当然,这些进程也特别风趣,因为并不是一切的句柄都被颁发了`PROCESS_ALL_ACCESS`或`THREAD_ALL_ACCESS`权限,所以,要想顺畅运用,仍是要开动脑筋的。在这篇文章中,我们将为读者介绍句柄的各种拜访权限,以及怎么运用这些权限来完结代码实行。在这里为,我们将要点重视进程和线程句柄,因为这些是最常见的,当然,其他目标的句柄也可以以相似的 *** 加以运用。
尽管这种缝隙或许在各种状况下发作,但我遇到的最常见的景象是,当某个特权进程翻开一个句柄,并将`bInheritHandle`设置为true时,就会呈现该缝隙。一旦发作这种状况,该特权进程的一切子进程都会承继句柄及其颁发的一切拜访权限。例如,假定一个SYSTEM级的进程实行以下操作:
HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, TRUE, GetCurrentProcessId());
因为它答应承继现已翻开的句柄,所以任何子进程都可以拜访该句柄。假设它们实行了模仿桌面用户的用户态(userland)代码——像服务常常做的那样,那么这些用户态进程将取得拜访该句柄的权限。
已发现的缝隙
下面,我们罗列几个现已揭露的缝隙实例。例如,James Forshaw[0]在2016年就从前运用过一个从具有`THREAD_ALL_ACCESS`拜访权限的辅佐登录服务中走漏的特权线程的句柄。实践上,这是一种最“常见”的权限,但他却以一种其时我并不了解的新颖 *** 运用了它。
另一个是来自Ivan Fratric[1] 的比如,他从前运用过一个被走漏的、具有`PROCESS_DUP_HANDLE`权限的进程句柄。在他宣布的“Bypassing Mitigations by Attacking JIT Server in Microsoft Edge”白皮书中,他指出JIT服务器进程会将内存映射到内容进程(content process)。为此,JIT进程需求用到一个句柄。内容进程将运用`PROCESS_DUP_HANDLE`来调用本身的`DuplicateHandle`,侵犯者可以运用这一点来获取具有悉数拜访权限的句柄。
最近的一个比如是戴尔LPE [2],其间从特权进程取得了一个具有“THREAD_ALL_ACCESS”权限的句柄。侵犯者可以通过下载的DLL和APC来运用该缝隙。
建立测验环境
在这篇文章中,我想调查句柄一切或许的拜访权限,以确认哪些权限是可以运用的,哪些权限是无法运用的。关于那些无法运用的权限,我会设法弄清楚需求结合哪些权限,才干正常加以运用。
为了完结相应的测验,我创建了一个简略的客户端和服务器:一个走漏句柄的特权服务器和一个可以运用它的客户端。下面是服务器的代码:
#include "pch.h"
#include
#include
int main(int argc, char **argv)
{
if (argc
在上面代码中,我获取了要模仿的令牌的句柄,翻开了当前进程(以SYSTEM权限运转)的可承继句柄,然后派生了一个子进程。实践上,这
zzzttt代表什么意思?刚见到这一抖音评论也是一头雾水啊,这又是啥新的暗语,看见是好多个英语字母友或是是一串登陆密码标记,实际代表什么意思呢?下边我产生:登陆密码zzzttt代表什么意思 登陆密码...
3月22消息,一位澳大利亚男子对于他突破澳大利亚eBay网站和一家本地银行以窃取4.2万澳元(约合3.4万美元)的行为表示认罪。这个案子暴露了eBay网站账户被劫持的问题。 据theregister...
中新网1月15日电 据外媒报道,当地时间15日,印尼国家运输安全委员会(KNKT)表示,印尼调查人员已经成功从坠毁客机的黑匣子中,提取出了相关数据。 印尼国家运输安全委员会在一份声明中表示,...
在SEM竞价推广与网站推广,很多企业都会选择网站推广。之所以选择这种方式,第一是其价格合适,第二,持久性强,不会有地域,时间,消费的限制。但是,通常SEO优化在优化推广时,要做好两种方案,囊一种是新站...
不是很容易呀!人肉搜索就是通过网络发布信息,通过网络用户发现被搜索者,如果有用户认识被搜索者,就把被搜索者的信息发布到网上,使人们认识了解, 先用百度,谷歌等搜索引擎搜索下此号码,看看有没网上的相关信...
武汉自驾游(武汉周边三日游)武汉周边万事通2020-04-15 22:45:00 马上就要到五一了,大家是不是早已按捺不住出去浪的心情,开始计划一场旅行啦! 不妨选择在武汉周边自驾游,...