1.走进Windows中的提权行为
2.APT案例分析:一个基于Meterpreter和Windows代理的攻击事件
3.透视CobaltStrike(二)——从CS到免杀框架Veil
4.实用教程:手动安卓应用中注入msf后门
5.红队最喜欢的18 种优秀的网络安全渗透工具
6.干货 | 一款开源自动化安全漏洞利用和测试工具Metasploit超详细快速入门指南
走进Windows中的提权行为
深入探讨Windows提权行为,本文聚焦于GetSystem过程及其在ATT&CK框架中的对应项,T - Access Token Manipulation,不涉及UAC bypass。文中选择命名管道提权和访问令牌窃取作为演示实例。
以经典的虚拟主持源码meterpreter中getsystem命令为例,其源代码揭示了工作原理和前置条件,核心在于利用ImpersonateNamedPipeClient API,通过命名管道的服务端进程模仿客户端进程的访问令牌,获取SYSTEM权限。
理解该API的具体说明及调用前提(SeImpersonatePrivilege权限)有助于深入分析。源代码拆解了实现步骤,从创建命名管道、创建服务、启动服务并连接管道,到调用API完成提权,直至删除服务,整个过程均有详细描述。
命名管道提权的软件提交源码格式复现和日志验证过程展示了系统监控工具在检测和理解攻击行为中的关键作用。通过sysmon等工具,可以跟踪从创建命名管道到服务创建、启动、连接管道、完成提权直至服务删除的每一个环节。
访问令牌窃取技术同样依赖于Windows API,如ImpersonateLoggedOnUser、DuplicateTokenEx等,实现途径包含获取目标进程的源码上传网站搭建句柄、访问令牌,复制令牌并创建新进程。本文提供代码示例及测试时的注意事项,强调实际操作的重要性。
结合日志分析,利用sysmon的ProcessAccess类日志,可以定位到OpenProcess、OpenProcessToken、DuplicateTokenEx等关键操作。商城系统源码查询通过关联分析,即使API调用不在sysmon能力范围内,也能追踪到攻击行为的全貌。
做好威胁检测需对攻击和防御知识有深入理解,sysmon日志记录和Windows API调用分析是关键。缺乏这些知识会限制检测能力。从原理出发,结合自上而下的分析和自下而上的分析,是源码科技集团理解攻击行为的正确方法。
APT案例分析:一个基于Meterpreter和Windows代理的攻击事件
前言
在深入研究此APT攻击案例前,需先了解测试环境。我对其进行了定制化的模拟APT攻击,发现可以上传HTTPS返回类型的Meterpreter后门至只可通过代理访问的公司Windows网络中。最初,我并未确定此情况是否存在漏洞或对APT攻击的影响。因此,我需要确保代理环境的正确性。
在详细分析后,我们使用的Meterpreter模块(windows/meterpreter/reverse_/rapid7/metaspo...下载它的源代码。在Kali Linux等安全工具中,Metasploit默认预装,其文件结构位于/usr/share/metasploit-framework/,包括exploits(渗透攻击模块)、payloads(攻击载荷)、auxiliary(辅助功能)、nops(空指令)、encoders(编码器)和post(后渗透攻击)等模块。
在Metasploit中,exploits模块用于执行渗透攻击,auxiliary模块则提供扫描和指纹识别等辅助功能,而post模块则在控制目标系统后进行进一步操作,如数据获取、权限提升等。例如,你可以通过ms-漏洞利用模块,使用Nmap扫描工具检测目标机是否存在漏洞,然后通过设置payload和执行攻击来获取目标机的shell控制。
Meterpreter是Metasploit V4后的关键组件,提供后渗透攻击的执行通道,支持多种操作,如屏幕截图、系统信息收集、权限提升等。通过执行不同的脚本,你可以进行远程桌面连接、内存迁移等操作,以保持对目标系统的持续控制。