探索CVE-2023-36874:Windows Error Reporting LPE漏洞利用工具

于 2024-06-01 09:54:02 发布
阅读量493 收藏 8
点赞数 5
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00044/article/details/139368318
版权

探索CVE-2023-36874:Windows Error Reporting LPE漏洞利用工具

项目简介

在网络安全世界中,CVE-2023-36874是一个引人关注的漏洞,它影响了多个版本的Windows操作系统。这个开源项目提供了一个功能完备的CobaltStrike Beacon Object File(BOF),用于利用这个零日漏洞进行本地权限提升。由Filip Dragovic最初发现并实现,这个BOF经过优化,能够在目标系统上执行恶意代码,且由SYSTEM账户权限运行。

技术分析

这个BOF通过逆向工程深入研究了易受攻击的wercplsupport.dll动态链接库,并创建了未公开的COM结构体以触发漏洞。它会在目标机器上创建一个用户指定的EXE文件,然后利用漏洞来执行该文件。值得注意的是,这个BOF仅适用于Windows 10和Windows 11 21H1到22H2版本,其他旧版本可能会导致进程崩溃。

应用场景

对于渗透测试者和安全研究人员而言,这个工具可用于模拟黑客攻击,测试系统防护策略的有效性。它还可以帮助开发更有效的防御措施,以防止类似的漏洞被恶意利用。此外,由于其具备自清理功能,可以在不留下明显痕迹的情况下执行任务,因此在隐秘性要求较高的场景下具有优势。

项目特点

  1. 灵活性:用户可以自由选择要上传并执行的EXE文件,适应不同的情景需求。
  2. 混淆与逃避检测:随机化的目录名和字符串生成有助于避免静态签名检测,增加隐蔽性。
  3. 自动清理:执行后会尝试删除所有相关文件和目录,减少暴露的风险。
  4. 兼容性:针对特定的Windows版本设计,能够充分利用系统的漏洞特征。
  5. 教育价值:通过公开源代码,学习如何逆向工程和构造这类漏洞利用方法。

为了保持操作的安全性和尽量规避签名检测,该项目添加了一些额外的功能,如随机化目录名称和使用动态生成的字符串。此外,它还实现了自删除机制,确保在完成任务后清理痕迹。

防御与升级

尽管这个工具提供了强大的功能,但微软已经在2023年7月11日发布的安全更新中修复了这个漏洞,建议所有用户尽快安装补丁以保护系统安全。

总而言之,无论您是想深入了解Windows系统安全,还是寻求提高渗透测试效率,这个项目都值得一试。请在合法授权的环境中使用,并遵守法律法规,切勿用于非法活动。

姚婕妹
关注
  • 5
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[LPE]Windows Local Privilege Escalation MS15-051
BraveWinds B10G
02-24 919
MS15-051GithubINFO| CVE-2015-1701 | Report 20150512 | Patch KB3045171 |Windows Kernel-mode Driver/ Win32k.sysEffectWindows 7/8/8.1Windows Server 2003/2008/2012TestingSource Code by zcgonvh Support Wind
[LPE]Windows Local Privilege Escalation MS16-135
BraveWinds B10G
03-07 939
MS16-135Github LinkINFO| CVE-2016-7255 | Report 20161110 | Windows Kernel-mode Driver/ Win32k.sys |Vulnerablemicrosoft:windows_10:-microsoft:windows_10:1511microsoft:windows_10:1607microsoft:windows_7:
CVE-2023-36025 Windows SmartScreen 安全功能绕过漏洞
最新发布
cc123489ll的博客
05-31 757
CVE-2023-36025是微软于11月补丁日发布的安全更新中修复WindowsSmartScreen安全功能绕过漏洞。攻击者可以通过诱导用户单击特制的URL来利用该漏洞,对目标系统进行攻击。成功利用该漏洞的攻击者能够绕过WindowsDefender SmartScreen检查及其相关提示。该漏洞的攻击复杂性较低,可创建并诱导用户点击恶意设计的 Internet 快捷方式文件(.URL) 或指向此类文件的超链接来利用该漏洞,无需特殊权限即可通过互联网进行利用。
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具
gitblog_00100的博客
05-25 483
探秘网络安全新星:CVE-2023-4863/CVE-2023-41064 PoC 工具 项目地址:https://gitcode.com/mistymntncop/CVE-2023-4863 在这个数字化的时代,网络安全的重要性不言而喻。为了保障网络的健康和安全,开发者们不断挑战新的漏洞,寻找解决方案。今天,我们将向您推荐一个专注于CVE-2023-4863漏洞的Proof-of-Concept...
CVE-2023-6548 和 CVE-2023-65的Citrix Netscaler/ADC-13.0-92.21 最新补丁
01-19
针对CVE-2023-6548 和 CVE-2023-6549 的 NetScaler ADC 和 NetScaler Gateway 的漏洞补丁升级包 CVE-2023-6548 :在管理接口上执行经过身份验证的(低特权)远程代码 CVE-2023-6549:拒绝服务 2、 强烈建议受影响...
CVE-2023-28252 CLFS Windows 本地提权漏洞 POCC 源码
08-23
CVE-2023-28252 是一个存在于 clfs.sys(通用日志文件系统驱动程序)中的越界写入漏洞。 卡巴斯基披露该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———...
CVE-2023-21768 Windows AFD 本地提权漏洞 C 源码
08-23
CVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。 AFD (Ancillary Function Driver)是Windows操作系统中的一个内核模式驱动程序。 漏洞原理: 该漏洞存在于AFD驱动程序处理用户...
CVE-2021-21972:CVE-2021-21972漏洞利用
03-04
CVE-2021-21972 CVE-2021-21972工作于VMware-VCSA-all-6.7.0-8217866,VMware-VIM-all-6.7.0-8217866 :heavy_check_mark: VMware-VCSA-all-6.5.0-16613358 :heavy_check_mark:对于vCenter6.7 U2 + vCenter 6.7U2 +在...
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略
gitblog_00037的博客
05-25 565
探索安全漏洞CVE-2023-24055:KeePass 2.5x的预防与应对策略 项目地址:https://gitcode.com/alt3kx/CVE-2023-24055_PoC 一、项目介绍 随着密码管理的重要性日益凸显,KeePass因其可靠性和开源性质而备受推崇。然而,最近披露的CVE-2023-24055暴露了其2.5x版本的一个重大安全问题:恶意攻击者能够通过修改配置文件触发数据...
阿一网络安全培训第60天——Apache Druid RCE漏洞复现及修复(CVE-2023-25194) ​​​​​​​
Ayixy的博客
05-24 676
2.使⽤ldap://vps ip:1389/Basic/Command/Base64/[base64_encoded_cmd]进⾏攻击。Kafka 是⼀个开源的分布式消息系统,Kafka 可以处理⼤量的消息和数据流,具有⾼吞吐量、低延迟、java -jar JNDIExploit-1.0-SNAPSHOT.jar:监听,可反弹shell。的特点,⼴泛应⽤于实时监控、事件驱动分析、⽤户⾏为分析、⽹络安全等领域。JNDI注⼊漏洞,可通过该漏洞在服务器端任意执⾏代码,写⼊后⻔,获取服务器权限,进⽽控制整个。
OpenSSH 安全漏洞(CVE-2023-51385) 升级v9(1),2024年最新网络安全面试基础知识
芯_v_648374雨馨博客
04-18 473
检查相应配置文件后,还原备份文件(可选)
Weblogic反序列化漏洞原理分析及漏洞复现(CVE-2018-2628/CVE-2023-21839复现)
rumil的博客
09-19 7785
WebLogic 存在远程代码执行漏洞(CVE-2023-21839/CNVD-2023-04389),由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。远程方法调用,除了该对象本身的虚拟机,其它的虚拟机也可以调用该对象的方法。
CVE-2023-46604复现学习
shierbai的博客
05-19 662
Apache ActiveMQ是一个开源的、功能强大的消息代理(Message Broker),由 Apache Software Foundation 所提供。ActiveMQ 支持 Java Message Service(JMS)1.1 和 2.0规范,提供了一个高性能、简单、灵活和支持多种语言(Java, C, C++, Ruby, Python, Perl等)的消息队列系统。OpenWire协议在ActiveMQ中被用于多语言客户端与服务端通信。
探索Confluence安全漏洞利用:ConfluenceMemshell详解
gitblog_00017的博客
05-31 628
探索Confluence安全漏洞利用:ConfluenceMemshell详解 项目地址:https://gitcode.com/Lotus6/ConfluenceMemshell 1、项目介绍 ConfluenceMemshell 是一个针对Confluence服务器的漏洞利用工具,设计用于利用CVE-2021-26084、CVE-2022-26134以及最新的CVE-2023系列漏洞。这个开源...
如何看待mybatis-plus这个cve漏洞及声明
怀揣梦想,一颗执着于技术的心从未磨灭,内心住着一颗顽强的小强时刻提醒自己层层突破自我,同时也成就他人
05-31 1035
该组件在3.5.3.1及之前版本中,由于TenantHandler#getTenantId方法在构造SQL表达式时未对tenant(租户)ID值进行过滤,当程序启用了TenantPlugin并且tenant ID可由外部用户控制时,攻击者可以利用此漏洞进行SQL注入,接管程序的数据库或发送恶意命令。MyBatis-Plus的CVE漏洞是一个严重的问题,但通过及时升级版本、过滤输入和遵循最佳实践等措施,开发者可以有效地降低安全风险并保护系统的安全性。
hvv 前网安人必读的漏洞清单(2024年)
2401_84466229的博客
05-28 2098
数字化浪潮席卷全球,安全漏洞的发现和利用频率正以惊人的速度上升,尤其是工业自动化、绿色能源、财经领域、交通系统、国家防务以及医疗行业等关键部门,成为了网络攻击者的主要目标。数据侵犯和勒索软件的攻击层出不穷,凸显了安全漏洞正被黑客用作主要的攻击渠道。本文梳理、分析了 2023 年危害巨大、影响范围广泛、且攻击手法多变的漏洞,旨在为网络安全界的实践者们提供一个详细的漏洞信息概览,帮助安全从业者能够更全面地掌握这些安全威胁,并据此构建更为坚固的安全防线。
CVE-2019-0708:Windows远程桌面UAF漏洞分析与复现
本文档详细探讨了CVE-2019-0708,一个针对Windows操作系统的严重安全漏洞,该漏洞主要涉及到Use-After-Free(UAF)问题。作者选择这个主题是为了扩展对不同平台,尤其是Windows系统安全的理解。 二、实验目标 实验...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

姚婕妹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值