蓝军技术推送(第十四弹)

渗透技巧 2年前 (2022) admin
719 0 0

蓝军技术推送

[文章推荐] OBJECT OVERLOADING(对象重载)

文章看点:通过NtSetInformationProcess函数来修改进程运行时的DosDevices的对象目录,来改变进程运行时dll的加载目录,从而实现dll劫持。区别于传统的dll劫持技术,此方法是在程序运行后修改程序环境变量中的dll加载目录来实现的dll劫持,它无法作为权限维持使用,但是能作为一种白加黑的免杀手法使用。

推送亮点:此文章通过理论配合实践,详细介绍了Windows的对象重载原理,并通过对象重载实现了对windows defender的dll劫持,通过此文章,读者可以自己去复现整个攻击手法。

原文链接:https://www.trustedsec.com/blog/object-overloading/

[漏洞播报] CVE-2022-21999(打印机提权漏洞)

漏洞概述:打印机本地提权漏洞,在目标主机有spoolsv.exe进程的情况下,能获取到system权限。

推送亮点:此漏洞是去年打印机提权漏洞Printnightmare的续集。

原文链接:https://github.com/ly4k/SpoolFool

[安全工具] dll-merger

功能描述:将dll和32位的exe文件进行合并,区别于传统的LoadLibrary方式,通过在exe的pe结构中添加.dlls和.ldr段,实现自动加载dll。

推送亮点:制作好一个免杀dll后,方便通过正常的exe来加载此免杀dll,大大方便了钓鱼马的制作,但是目前只支持32位的程序。

工具链接:https://github.com/ytk2128/dll-merger

蓝军技术推送(第十四弹)

原文始发于微信公众号(luomasec):蓝军技术推送(第十四弹)

版权声明:admin 发表于 2022年2月10日 上午4:05。
转载请注明:蓝军技术推送(第十四弹) | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...