说说白利用
来源:互联网 发布:淘宝买个人信息暗语 编辑:程序博客网 时间:2024/06/11 03:49
现在过hips或者scan越来越难了~很多白利用什么的
先说说没品木马们的常见手段(以下示例国内靠谱安全软件早已防范):
1. 一些未公开的启动位置——ms的启动注册表还是很多的~ 放出来样本一分析很快就会被杀了~ 能找到这种东西的孩纸还是看系统源码还是很细心的
例:RenamePendingFile这个启动点大家都知道,但其实还可以有RenamePendingFile0,RenamePendingFile1也可以哦。一开始大家不知道,木马作者就爽了一把。
2. 利用系统或者防御软件的0 day 提权——也是一波流,不过这种东西比较值钱,要真拿来干一票都是干大的= =
例:那堆CVE-XXXX 。。。
3. 利用安全软件一些处理缺陷——我感觉这种一般都是瞎试出来的= =,要是逆向跟出来的,那真是太用心了。。。
例:比如短路径处理问题C:\Users\ADMINI~1\LOCALS~1\
再或者File协议处理问题“FILE://d:/Users/super7dd/Desktop/1.EXE%20”
诸如此类的~~
4. 白利用,这种比较常见,因为最容易
通常思路是:一个木马文件A.exe 做一个操作X,操作X使白文件B.EXE启动,B.EXE直接或间接执行了一些非安全动作绕过主防或查杀= =
操作X可能是一个主防认为安全的行为,或者是一个主防根本不监控的行为。
例子1(通用):xxx.exe是一个白文件,一个未知程序将xxx.exe写入注册表启动项,劫持他的Y.DLL,成功了= =
算是通用方法,只要你找到的这个可以利用的白文件是还没有被安全厂商重点关照的。
例子2:驱动白利用,很久以前可以过主防的。A.exe修改网关,然后加载白驱动(不断网的话灰文件加白驱动还是会报),白驱动有任意内存写入漏洞= = 然后随便了= =
例子3:一个com接口的白利用
释放文件
其中the.exe 看图标就知道是OD的插件,白文件,后面加参数会作为dll启动。
操作1. 木马文件INFOC.EXE 写入注册表(即上文中的操作X,这个操作没有被hips关注)
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D45FD2FC-5C6E-11D1-9EC1-00C04FD7081F}\LocalServer32
值:"C:\XHear0\THE.EXE" UGH.DLL
这是一个COM组件的路径,组件名是MicrosoftAgent Server
操作2. INFOC.EXE调用创建com对象
CoCreateInstance(CLSID_AgentServer,NULL,CLSCTX_LOCAL_SERVER,IID_IAgent,(LPVOID*)&pAgent);
系统会加载com进程
动作是: svchost –kDcomLaunch进程以"C:\XHear0\THE.EXE" UGH.DLL –Embedding 为命令行启动新进程
操作3 UGH.DLL写入注册表启动项
SOFTWARE\\Microsoft\\Active Setup\\InstalledComponents\\{82d6f312-b0f6-11d0-94ab-0080c74c7e95}
本来这个注册表hips是会防的,但由于UGH.DLL处在一个白进程的进程空间里,所以放行了
- 说说白利用
- 说说白利用
- 说
- 说
- 说
- 说
- 说
- 说
- 我是这么利用数据---对需求说不
- 简单说 CSS中的mask—好好利用mask-image
- 利用 行内视图 实现排名问题或者说top-n分析(重点)
- 为什么说LINUX没有利用80X86微处理器的段分页机制实现程序分段?
- 说无可说
- 你说我说他说
- 妈妈说
- 我想说
- 说“细节”
- 说“限制”
- OpenSSL for ios PolarSSL for ios
- virtualbox Failed to load VMMR0.r0 (VERR_SUPLIB_OWNER_NOT_ROOT) 解决办法
- vmap allocation for size 8192 failed ---- 原因及解决方法(求解)
- C语言错误集锦
- 第四代V850微控制器系列(瑞萨电子)
- 说说白利用
- 大学里,你对考试上心吗
- JFileChooser_2
- PHP5.4+Apache2.2的环境配置
- 枚举劳务线程
- Sybase数据库的日常维护
- 第十六周实验报告3
- ibus-anthy相关库说明
- JMeter学习