关于操作PPL进程引发的一些问题

最新推荐文章于 2023-09-11 23:30:14 发布
最新推荐文章于 2023-09-11 23:30:14 发布
阅读量852 收藏 1
点赞数
分类专栏: 爱好 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37353105/article/details/128238510
版权

背景

之前发布过一篇关于procexp的利用,但是最近有brother说,最新的版本不能利用了,然后就去下载了最新版本的。

 发现判断了是不是受保护进程,不是就拒绝。

 这里简单看一下这个函数,发现对比的是_PS_PROTECTION,其实就是Windows Vista之后引进的ppl保护机制,对应的msdn

 PsIsProtectedProcess proc near          
                 test    byte ptr [rcx+87Ah], 7
                 mov     eax, 0
                 setnbe  al
                 retn
 PsIsProtectedProcess endp

typedef enum _PS_PROTECTED_TYPE {
    PsProtectedTypeNone = 0,
    PsProtectedTypeProtectedLight = 1,
    PsProtectedTypeProtected = 2
} PS_PROTECTED_TYPE, *PPS_PROTECTED_TYPE;

好了,现在想办法怎么让过。

1、找能够清零PsIsProtectedProcess_180005238全局变量的漏洞;

2、找能利用的ppl进程;

上面两个都找了,第一种找了几个驱动,没找到能够控制传入参数赋值为0的,第二个创建的ppl(CREATE_PROTECTED_PROCESS)的父进程的句柄也是没有修改的权限的。

利用

由于之前分析过某个驱动,于是找到了某个不愿意透露姓名的驱动,能够打开进程(xxx-base),但是没有复制进程句柄和写内存的接口(只有读)。

 然后顺利打开system,和其他进程并且是操作进程的所有权限,起初是想以system句柄创建一个ppl进程的傀儡进程,但是呢,父进程只有受限制的查询权限(可以再次内核打开这不是问题),最主要的是没有主线程的权限,灰色代表的是挂起。

ULONG createProc(ULONG dupHandle)
{
	ULONG pid = NULL;
	STARTUPINFOEX si;
	PROCESS_INFORMATION pi;
	RtlSecureZeroMemory(&pi, sizeof(pi));
	RtlSecureZeroMemory(&si, sizeof(si));
	SIZE_T size = 0x30;
	si.StartupInfo.cb = sizeof(STARTUPINFOEX);
	si.lpAttributeList = (LPPROC_THREAD_ATTRIBUTE_LIST)malloc(0x30);
	if (si.lpAttributeList) {
		if (InitializeProcThreadAttributeList(si.lpAttributeList, 1, 0, &size)) {
			if (UpdateProcThreadAttribute(si.lpAttributeList, 0, PROC_THREAD_ATTRIBUTE_PARENT_PROCESS, &dupHandle, sizeof(HANDLE), 0, 0)) {
				if (CreateProcess("C:\\Windows\\System32\\svchost.exe",
					NULL,
					NULL,
					NULL,
					FALSE,
					CREATE_PROTECTED_PROCESS| CREATE_SUSPENDED | EXTENDED_STARTUPINFO_PRESENT,
					NULL,
					NULL,
					&si,
					&pi))
				{
					pid = pi.dwProcessId;
					//CloseHandle(pi.hThread);
					//CloseHandle(pi.hProcess);
					PROCESS_INFORMATION ProcessInfomation = { 0 };
					CONTEXT Context = { 0 };
					Context.ContextFlags = CONTEXT_ALL;
					if (!GetThreadContext(pi.hThread, &Context))
					{
						printf("GetThreadContext fail LastError:%d\n", GetLastError());
					}
					else
					{
						printf("Context.Eax 0x%x", Context.Eax);
					}
				}
				else {
					printf("create failed GetLastError %d\n", GetLastError());
				}
			}
			else {
				printf("UpdateProcThreadAttribute failed\n");
			}

		}
	}
	if (si.lpAttributeList)
		DeleteProcThreadAttributeList(si.lpAttributeList); //dumb empty routine
	free(si.lpAttributeList);
	return 	pid;
}

后来测试ZwCreateThreadEx也会失败,毕竟创建线程会走回调,失败也很正常0xc0000022(STATUS_ACCESS_DENIED),但是VirtualAllocEx和VirtualProtectEx可以正常使用,只需要劫持NtContinue就可以了(这个函数调用和频繁,劫持写个shellcode注入dll应该不难吧。我没写---有懒人)。

真正的问题

看下当前受保护的进程,我选择MsMpEng.exe,打开之后,申请内存发现失败了。

 接着对比了smss和MsMpEng的acg保护,发现有点不一样,左smss。

 MsMpEng没有动态代码保护,但多了dll和extension pointer保护,于是写点代码把这两个保护给自己加上

	PROCESS_MITIGATION_IMAGE_LOAD_POLICY policy;
	ZeroMemory(&policy, sizeof(policy));
	policy.NoRemoteImages = 1;
	SetProcessMitigationPolicy(ProcessImageLoadPolicy, &policy, sizeof(policy))



    PROCESS_MITIGATION_EXTENSION_POINT_DISABLE_POLICY policy2;
	ZeroMemory(&policy, sizeof(policy2));
	policy2.DisableExtensionPoints = 1;
	SetProcessMitigationPolicy(ProcessExtensionPointDisablePolicy, &policy2, sizeof(policy2))

 开测,一样成功申请到了内存。

那只有动态调试一下了,对指定进程的NtAllocateVirtualMemory下断电,发现在MiAllocateVirtualMemoryPrepare返回了STATUS_ACCESS_DENIED,进去之后在看看ObpReferenceObjectByHandleWithTag返回了STATUS_ACCESS_DENIED,此时感觉到莫名其妙,ObpReferenceObjectByHandleWithTag怎么会拒绝呢,于是打印了下对应的句柄

 屮,权限不足,原来最开始打开的权限就是受限制的,因为打开system和smss(ppl进程)成功就没有注意看句柄权限了,这里的MsMpEng权限还是受限制的(应该是在ob回调中限制了打开windows防火墙进程的权限)。

 啰嗦一下如果要劫持ppl进程的NtContinue,还是需要注意一下acg保护。

被遗弃的庸才
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
17_protection_Protection_PSCADProtection_
10-02
PSCAD Protection Example
[Rootkit] - 进程伪装
墨鱼菜鸡
08-20 198
背景 欺骗任务管理器等行为工具,"隐藏"进程的另一种方法。原理是修改 EPROCESS 中的成员。 驱动层进程伪装 以下代码来自:https://github.com/zhuhuibeishadiao/PathMod...
Protected Process Light(PPL)微软系统进程保护机制
墨鱼菜鸡
03-04 265
背景 Protected Process Light(PPL) 可以将某些进程(一般是杀软和系统自身进程)提权到比超级管理员还要高,拥有一般的自我保护所达不到的效果: 绕过 PPL https://github.co...
WindowsPPL 安全机制和绕过
dzqxwzoe的博客
09-11 175
Windows 从 vista 版本引入一种进程保护机制(ProcessProtection),用于更进一步的控制进程的访问级别,在此之前,用户只需要使用令牌权限即可获取任意进程的所有访问权限;随后Windows8.1 在此进程保护的基础上,扩展引入了进程保护光机制(Protected ProcessLight),简称PPL机制,其能提供更加细粒度化的进程访问权限控制,。本文将介绍 WindowsPPL 安全机制,以及在实验环境下如何绕过该机制,从而实现对 PPL进程进行动态调试。
PPL攻击详解
hongduilanjun的博客
11-01 3607
PPL表示“受保护的流程”,但在此之前,只有“受保护的流程”。Windows Vista / Server 2008引入了受保护进程的概念,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并符合DRM(数字版权管理)要求。Microsoft开发了此机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是映像文件(即可执行文件)必须使用特殊的Windows Media证书进行数字签名(如Windows Internals的“受保护的过程”部分所述)。
[保护&过保护] _EPROCESS 的 Protection 成员
墨鱼菜鸡
08-16 182
在 win10 中,该成员在 _eprocess 结构中的偏移如下: dt _eprocess: ... ... +0x6ca Protection : _PS_PROTECTION ... ... 将这...
域渗透——绕过LSA保护机制总结
灰太的表格的博客
08-06 832
LSA绕过
WIN10绕过PPL保护
SHELLCODE_8BIT的博客
09-25 1163
Windows 8.1(和Server 2012 R2)开始,Microsoft引入了一项称为LSA保护的功能。此功能基于PPL技术,它是一种纵深防御的安全功能,旨在“防止非管理员非PPL进程通过打开进程之类的函数串改PPL进程的代码和数据”。 我发现许多人都对这个技术存在误解,认为LSA Protection是阻止利用SeDebug或管理员权限从内存中提取凭证的攻击,例如使用Mimikatz来提取凭证。实际上LSA保护不能抵御这些攻击,它只会让你在执行这些攻击前,需要做一些额外的操作,让攻击变得更加困
遇见PPL:C++的并行和异步
03-02
假设我们有一个数组,里面包含一组随机生成的浮点数,现在要计算每个浮点数对应的正弦值,如果你看过我的,你可能会想到用for_each函数,如代码1所示。为了可以把数组里的浮点数替换成对应的正弦值,我们需要把...
ppl
03-06
ppl
main_ppl_concurrency_
09-30
测试微软并行模式库PPL(Parallel Patterns Library)的运行效率
PPL计算1
08-03
(1). 021033210023: log10 PPL = 1.2166224866923079, PPL = 16.467303381304372 (2).
VMP3.5 脱壳--查找OEP
热门推荐
被遗弃的庸才博客
01-19 1万+
背景 无 VMP的介绍 相信看到这篇文章的人都听过或了解过vmp,基本遇到vmp加壳的程序基本就是右键回收站,但是如果只是简单的加了一层vmp壳的话,还是可以分析的。 vmp加壳方式 下面是程序代码 int main() { printf("222222222\n"); system("pause"); return 0; } 然后把随机基地址关一下,方便之后查找main函数 这里说明一下,目前大部分人加壳都会虚拟化代码段,这样的话基本上就需要右键回收站了,主要是核心代码被vm
Win10 1903过TP的双机调试
被遗弃的庸才博客
11-16 4640
了解内核知识已经有一段时间了,想双机调试一下XP,网上也找了不少资料。https://bbs.pediy.com/thread-248912.htm https://blog.csdn.net/kingswb/article/details/51194105差不多我用到的大部分代码都是从上面cv(Ctrl+c---->Ctrl+v)下来的1、首先解决The context is parti...
VMP3.6的反调试和反虚拟机
被遗弃的庸才博客
06-27 4621
看雪上有人泄露了3.6.0.1406,第一时间先下载下来,然后加壳之后扔进x32dbg,A debugger has been found....... 还能怎么办?右键回收站。正准备放弃的时候,想了想要不在看看,好吧那就在看看,结果一段瞎分析之后定位到了scylla没有处理完善的函数NtQueryInformationThread和QueryInformationProcess 你问我怎么定位的,全是某牛姓男子给我说的,还有需要注意的时这些api下执行是不会断下的,因为它自己shadow了一份syst
有痕注入的分析和实现
被遗弃的庸才博客
02-21 4533
背景 之前分析过某老哥的超级注入,最近突然来了兴致,简单的把它实现一下。 开整 首先说一下思路 1、找到目标进程,并且暂停它的第一个线程; 2、在目标进程中申请一个页大小的内存,放入shellcode,x86和x64分别做对应的处理(这里使用的是LdrLoadDll(加载之后痕迹比较明显),不满意可以自己映射,修复IAT); 3、替换返回到r3的eip/rip为shellcode的起始地址,恢复线程等待线程执行; 4、创建工作线程释放内存资源; 看着也挺简单的,这里有几个坑需要注意一下。
ProcExp的利用
被遗弃的庸才博客
09-30 3504
事件的起因是这篇,简单来说就是ark工具能够打开和复制system的句柄,其中\Device\PhysicalMemory的句柄可以映射到当前进程,从而直接操作物理地址。
pytorch ppl
最新发布
09-19
PyTorch PPL(Perplexity,困惑度)是用于评估语言模型性能的指标。它是交叉熵损失的指数函数。在PyTorch中,可以使用`F.cross_entropy`函数来计算交叉熵损失,然后使用`torch.exp`函数对损失进行指数化得到PPL。 下面是计算PyTorch PPL的示例代码: ```python from torch import Tensor import torch.nn.functional as F def perplexity(outputs: Tensor, targets: Tensor, config=None): ce = F.cross_entropy(outputs.view(-1, outputs.size(-1)), targets.view(-1), ignore_index=config.data.pad_id if config is not None else None) return torch.exp(ce) ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值