[译]Windows提权:ahcache.sys/NtApphelpCacheControl

最新推荐文章于 2022-08-27 10:04:17 发布
最新推荐文章于 2022-08-27 10:04:17 发布
阅读量793 收藏
点赞数
分类专栏: windows 后渗透测试 文章标签: 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16188/article/details/82612082
版权
原文地址:[url]https://code.google.com/p/google-security-research/issues/detail?id=118[/url]

平台:Windows 8.1 Update 32/64 bit(其他版本未测试)
Windows8更新的系统函数NtApphelpCacheControl(位于ahcache.sys)当新进程创建时允许缓存程序通用数据来达到快速重复使用的目的。普通用户可以查询缓存但是不能添加缓存实体,因为这个操作被限制为管理员权限。这是通过AhcVerifyAdminContext函数检查的。
但是该函数存在漏洞--它不正确检查调用者的伪装token来确定用户是否是管理员。它使用PsReferenceImpersonationToken函数读取调用者的伪装token,然后比较token中的user SID和LocalSystem的SID。它不检查token的伪装级别所以可以从本地系统进程中获得一个token来绕过检查。本PoC使用BITS服务和COM来获得伪装token,但是仍有可能存在其他办法来绕过。
在PoC中,创建一个缓存实体来进行UAC自动提权可执行文件(omputerDefaults.exe)。然后把缓存指向regsvr32的app compat实体,用来强制RedirectExe shim来重载regsvr32.exe。然而,可以使用任何可执行文件,技巧是找到一个合适的预存在的app compat配置。

[url]步骤:
1. 把AppCompatCache.exe和Testdll.dll放到磁盘
2. 确保使用了UAC,当前user是一个split-token admin,UAC设置为默认设置
3. 在命令行中运行AppCompatCache.exe c:\windows\system32\ComputerDefaults.exe testdll.dll
4. 如果成功,那么将会出现一个以管理员权限运行的计算器。否则,重新运行步骤三,有时第一次运行的时候会出现caching/timing问题[/url]

AppCompat介绍:[url]http://technet.microsoft.com/en-us/library/cc728440%28v=ws.10%29.aspx[/url]
split-token admin:[url]http://michaelkleef.blogspot.com/2011/09/understanding-whats-in-user-token.html[/url]
[color=red]split-token admin:概要的说,即使你是管理员,你也只能访问部分权限。[/color]
iteye_16188
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
golang.org/x/sys/unix: unrecognized
关于代码的那些事
04-04 1万+
安装的过程报错: package golang.org/x/sys/unix: unrecognized import path "golang.org/x/sys/unix" (https fetch: Get https://golang.org/x/sys/unix?go-get=1: dial tcp 216.239.37.1:443: i/o timeout) 被长城墙了,您可以这...
Android 12源码编报错:FAILED: out/soong/build.ninja
phj1990的博客
05-25 1万+
Android 12源码编报错:FAILED: out/soong/build.ninja android12源码编中报如下错误: 网上查了比较多资料发现是swap分区不够导致的,报错时使用frem -m 查看swap分区情况如下: 所以需要加大swap分区的大小,swap分区加到到物理内存的2倍,物理内存为6G,所以swap分区增加12G swap分区增加命令: 其中count为需要增加的大小, 下面这个是swap分区增加了12G 创建swap文件: mkswap /var/swap 开启这个
windows-sys:29:windows系统蓝屏错误码
master
12-05 2355
windows系统蓝屏,也称之为蓝屏死机(Blue Screen of Death,简称BSOD),蓝屏是 Windows 系列操作系统在遇到一个系统错误导致系统无法恢复时,为了保护磁盘上的数据文件不被破坏而强制显示器显示蓝屏,并且蓝屏通常伴随着错误代码以及可能的原因和求助方法。另外,在Windows Vista部分测试版系统中,系统死机屏幕会变成了红色,称之为红屏死机(Red Screen of death,缩写RSoD)。 相信每个人都遇到过windows蓝屏的情况,多数时候这些蓝屏并没有什么影响
AHCI模式导致系统蓝屏
u012943448的专栏
11-27 2978
windows因用AHCI模式蓝屏         windows蓝屏有许多原因,最近在用U盘做启动盘,然后修改BIOS从U盘启动。再重新进入windows系统一出现画面图标就蓝屏,进入安全模式或其他模式都蓝屏。系统没中毒,用PE进去杀过毒。也没安装新的驱动,查看蓝屏代码是STOP 0x0000007B INACCESSABLE_BOOT_DEVICE          上网查原因发现是B
可以解决硬件蓝屏问题-BIOS
07-04
之前看到很多电脑经常出现蓝屏问题,后来找到一个工具可以解决类似的问题,是一件批处理程序运行后便可以解决硬件蓝屏问题-BIOS
window10/11 更改AHCI模式启动蓝屏解决办法
hyp的博客
06-18 1万+
有的电脑的硬盘模式是RST,想改为ACHI模式的话,重启都会遇到蓝屏死机的情况(我是装了一个Ubuntu双系统,不兼容RST,所以改为了ACHI),网上大多数都是修改注册表的方式来解决蓝屏问题,但太麻烦,下面是我的方式,希望能够帮助到大家1、win+R,然后输入msconfig,回车2、找到引导栏->勾选安全引导->点击确认->选择重启->进入BIOS界面3、在BIOS界面里将RST模式更改为AHCI模式,保存->重启4、重启后进入的是安全模式,在win+R,输入msconfig,将引导栏里的安全引导取消勾
win10你的电脑遇到问题,需要重新启动,我们只收集某些错误信息(volmgr win10 161) ---(解决方法:调整内存对应的页面文件)
sun0322
07-25 6万+
前言 最近电脑经常,重启 显示如下信息。 开机后,查看 事件,显示如下错误 volmgr win10 161 解决 1.右键电脑左下角【窗口】图标,选择【系统】 ---- 2. 在【关于】中,选择【高级系统设置】 3.【高级】----【设置】 4.【写入调试信息】-----【完全内存转储】 ---- // 修改之前是【自动内存转储】 ---- 5.重新启动电脑 ...............................
Windows——蓝屏[失败的操作:WdFilter.sys]解决方案
无限迭代中......
03-10 2万+
问题描述 终止代码:PAGE_FAULT_IN_NONPAGED_AREA 或者SYSTEM_SERVICE_EXCEPTION 失败的操作:WdFilter.sys 问题分析 WdFilter.sys报错蓝屏主要是由win10系统更新后,系统不兼容,导致报错蓝屏。 解决方案 1、进入安全模式或者PE 重启电脑按F8进入安全模式或者PE 部分台式机进不去的话去百度其...
golang.org/x/sys timeout 解决方式
Never的博客
10-08 3800
go: golang.org/x/sys@v0.0.0-20190222072716-a9d3bda3a223: unrecognized import path "golang.org/x/sys" (https fetch: Get https://golang.org/x/sys?go-get=1: dial tcp 216.239.37.1:443: i/o timeout) go: g...
[OHOS ERROR] portability.h:309:24: fatal error: sys/random.h: No such file or directory
r7cncom的博客
08-27 2451
因为指定编器所以替代shell启动脚本方案。busybox作为shell解释器。busybox作为shell解释器。busybox作为shell解释器。busybox作为shell解释器。busybox作为shell解释器。busybox作为shell解释器。
[已解决]* !!vue-style-loader!css-loader?{“sourceMap“:true}!../../../node_modules/vue-loader/lib/style-c
qq_43055855的博客
10-16 6672
项目场景: 今天在写Vue-的style下的css样式的时候突然给我报这个鸟错误,找了半天也每看见我的css样式哪里写错了。 问题描述: ERROR Failed to compile with 1 errors 1:36:12 ├F10: PM┤ This dependency was not found: * !!vue-style-loader!css-loade
NT 函数原型
lei35151的专栏
11-15 4307
NTSYSAPI NTSTATUS NTAPI NtAcceptConnectPort( OUT PHANDLE PortHandle, IN PVOID PortIdentifier, IN PPORT_MESSAGE Message, IN BOOLEAN Accept, IN OUT PPORT_VIEW ServerView OPTIONAL, OUT PREMOTE_P
驱动蓝屏代码及原因,解决方案
wanshouyuan的专栏
02-04 1万+
1.   故障检查信息 *** STOP:  0x100000d1 (0x00000000, 0x00000002, 0x00000000, 0x00000000) 其中错误的第一一是停机码(Stop Code)也就是0x100000d1,用于识别已发生错误的类型。错误第二部分是被括号括起来的四个数字集,表示随机的开发人员定义的参数(这个参数对于普通用户根本无法理解,只有驱动程序编写者或微软操
计算机总是蓝屏怎么解决办法,电脑经常蓝屏怎么办?教你解决几种常见的蓝屏问题...
weixin_42169971的博客
07-26 1万+
蓝屏,对于经常使用电脑的用户来说可谓是司空见惯,当我们的电脑使用时间有一定年限时,或者是电脑运行时间太久,散热效果不好时都会导致不同的蓝屏情况。蓝屏的频繁出现表明了你的电脑出现了问题,蓝屏也有根据错误代码的不同分为多种情况。今天就给大家带来几种常见的蓝屏错误代码以及解决方案。0x000000f41)这种错误代码一般是由于内存条引起的,有可能是电脑在搬运过程中,导致内存条松动,或者是长时间使用,内存...
bdcenhance.sys文件蓝屏问题解决方案
黄树茂博客
09-16 2629
win7更新补丁后、电脑无故蓝屏怎么办?下面为大家介绍此类问题的解决方法 故障截图: 该问题是:百度残余版本驱动导致 ,请按如下步骤解决: 一. 确认您是否主动安装过百度相关软件,如是自己手动安装的,建议先在软件管家或者控制面板内卸载。 二. 打开系统自带的控制面板,找到百度相关的软件卸载 二. 如果软件非主动安装且软件管家&控制面板找不到卸载 1. 进入C:\windows\system...
失败!
DY_柔情的博客
09-04 603
# 作者:robin_aerfa # QQ:1514149460 # wx:Stbz528403 # coding=utf-8 from PyQt5.QtWidgets import QApplication, QWidget, QMainWindow, QLabel from PyQt5.QtGui import QImage, QPixmap class UI(QMainWindow): ...
ehcache入门基础示例
热门推荐
人不风流枉少年
05-26 8万+
一:目录 EhCache 简介 Hello World 示例 Spring 整合 二: 简介 1. 基本介绍 EhCache 是一个纯Java的进程内缓存框架,具有快速、精干等特点,是Hibernate中默认CacheProvider。Ehcache是一种广泛使用的开源Java分布式缓存。主要面向通用缓存,Java EE和轻量级容器。它具有内存和磁盘存储,缓存加载器,缓存扩...
/home/txp/petalinux/2022.1/sysroots/x86_64-petalinux-linux/usr/bin/aarch64-xilinx-linux/aarch64-xilinx-linux-g++ -c -Iinclude -I../UsageEnvironment/include -I../groupsock/include -I/usr/local/include -I. -O2 -DSOCKLEN_T=socklen_t -DNO_SSTREAM=1 -D_LARGEFILE_SOURCE=1 -D_FILE_OFFSET_BITS=64 -Wall -DBSD=1 Media.cpp cc1plus: warning: include location "/usr/local/include" is unsafe for cross-compilation [-Wpoison-system-directories] In file included from ../UsageEnvironment/include/UsageEnvironment.hh:28, from include/Media.hh:33, from Media.cpp:21: ../groupsock/include/NetCommon.h:94:10: fatal error: sys/types.h: No such file or directory 94 | #include <sys/types.h> | ^~~~~~~~~~~~~
最新发布
06-06
根据错误提示,编器找不到 sys/types.h 文件,可能是因为交叉编环境缺少相关的头文件和库文件。 解决这个问题的方法是在交叉编环境中安装缺少的库文件和头文件。具体方法如下: 1. 在宿主机上下载对应版本的交叉编工具链,并将其解压到某个目录下。 2. 进入解压后的工具链目录,使用如下命令安装必要的库文件和头文件: ``` sudo apt-get install libc6-arm64-cross sudo apt-get install libc6-dev-arm64-cross sudo apt-get install libstdc++-arm64-cross sudo apt-get install libstdc++6-arm64-cross sudo apt-get install libgcc-9-dev-arm64-cross sudo apt-get install linux-libc-dev-arm64-cross ``` 3. 如果还有其他头文件或库文件缺失,可以使用相应的 apt-get 命令进行安装。 4. 然后重新编程序,看是否能够顺利通过。 如果还有其他问题,可以根据错误提示进行排查和解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值