cpu-z 驱动漏洞利用

最新推荐文章于 2024-05-24 18:20:49 发布
最新推荐文章于 2024-05-24 18:20:49 发布
阅读量763 收藏 1
点赞数
分类专栏: 免杀技术 文章标签: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/r250414958/article/details/123761042
版权

cpu-z 驱动漏洞利用

前言

其实这种利用大多数是用来做一些外挂的利用,但是我们可以转换思路来用来对抗杀毒软件的保护。
不只是cup-z有这种漏洞,技嘉,戴尔,华硕…等一些大厂都有这种漏洞,并且有些驱动签名还没有失效。

OBOperationRegistration

当某些软件使用openprocess打开了杀毒软件的进程的时候,会触发这个回调,对openprocess的句柄进行降权操作.使得我们无法使用TerminateProcess、WriteProcessMemory、ReadProcessMemory这些需要用到HANDLE的东西对杀毒软件进行XXOO.也就实现了 “进程保护”

例如有些杀毒软件会使用这个方法来保护一些特殊的进程,例如:
lsass.exe
winlogon.exe
如果保护了lsass.exe,即使你有管理员权限,但杀毒软件通过上述方法对你句柄进行降权处理,导致你无法读取lsass.exe的内存,无法获取里面保存的密码,也无法dump下来进行解密。
而且如果想注入这种被保护了的进程也是比较困难的。
有了这种保护,在R3下想要和其对抗还是比较困难的,除非另想他法。
其中一种办法就是利用这个驱动漏洞来获取最高权限的句柄,参考:

https://www.freebuf.com/vuls/220997.html

这篇文章已经说得非常详细了(膜拜一波
huoji120大佬,我的偶像),我就不在这里班门弄斧了。

而且这种攻击方式已经被广泛使用,能找到非常多的例子:

https://www.freebuf.com/articles/system/228338.html

可以通过观察分析别人的攻击方式来拓展自己的攻击思路,还是非常不错的。
至于这些漏洞还能干什么,更多的攻击思路还是交给大家发挥想象力,不要拘泥于传统的办法。

参考项目

https://github.com/huoji120/HandleMaster

https://github.com/hfiref0x/KDU

https://github.com/ASkyeye/CVE-2018-19320

github上还有很多这种项目,大家可以自己找一下

QQQqQqqqqrrrr
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
NVIDIA显卡驱动曝出多安全漏洞,部分Windows和Linux设备受到影响
systemino的博客
06-30 630
上周,科技巨头Nvidia发布了Nvidia GPU Display Driver中的多个安全漏洞的安全更新。这10个安全漏洞的CVSS 评分在5.5到7.8之间,影响的设备包括Windows和Linux机器。 漏洞分析 其中影响NVIDIA GPU显卡驱动的安全漏洞分别是: CVE‑2020‑5962 CVE‑2020‑5962漏洞位于驱动的Nvidia Control Panel组件中,奇热本地攻击者利用该漏洞可以破坏系统文件,引发DoS攻击或权限提升。 CVE‑2020‑5963 CVE‑
cpu-z
06-20
CPU-Z还能识别出主板的型号以及所使用的芯片组,这对于了解主板特性、查找驱动程序或者在故障排查时提供关键线索。此外,它还能显示BIOS版本信息,这对于保持系统安全性和稳定性至关重要,因为及时更新BIOS可以修复...
Linux 安全预警:Linux 内核的 USB 驱动存在大量缺陷
weixin_34233421的博客
11-01 236
大众普遍认为,与 Windows 相比,Linux 和 macOS 操作系统具有更好的安全性。这个观点在大多数情况是成立的,但因此而不承认任何可能存在的攻击则显得不理性。最近,谷歌安全研究员 Andrey Konovalov 发现了一些 Linux 漏洞。 Konovalov 使用 Linux 内核模糊测试工具Syzkaller 发现了 Linu...
句柄降权绕过CallBacks检查
最新发布
jmm18363027827的博客
05-24 879
当一个进程利用名称来创建或打开一个对象时,将获得一个句柄,该句柄指向所创建或打开的对象。以后,该进程无须使用名称来引用该对象,使用此句柄即可访问。这样做可以显著地提高引用对象的效率。句柄是一个在软件设计中被广泛使用的概念。例如,在C运行库中,文件操作使用句柄来表示,每当应用程序创建或打开一个文件时,只要此创建或打开操作成功,则C运行库返回一个句柄。以后应用程序对文件的读写操作都使用此句柄来标识该文件。
漏洞分析:MS14-058(CVE-2014-4113)
m0_64973256的博客
10-20 576
作者:selph漏洞分析:CVE-2014-4113漏洞介绍漏洞程序Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。win32k.sys是Windows子系统的内核部分,是一个内核模式设备驱动程序,它包含有窗口管理器、后台控制窗口和屏幕输出管理等。如果Windows内核模式驱动程序不正确地处理内存中的对象,则存在一个特权提升漏洞。成功利用此漏洞的攻击者可以运行内核模式中的任意代码。攻击者随后可安装程序;查看、更改或删除数据;
利用驱动漏洞
SHELLCODE_8BIT的博客
08-27 135
sbyt3/IObitUnlocker.Wrapper (github.com)
驱动漏洞利用的另一种思路
r250414958的博客
03-27 657
驱动漏洞利用的另一种思路前言Kernel Callback Routines项目参考 前言 之前在前面<cpu-z 驱动漏洞利用>中说了可以利用驱动漏洞绕过杀毒软件OBOperationRegistration保护获取进程的最高权限,下面这种又是一种新思路来绕过杀毒软件的保护 Kernel Callback Routines 当 Microsoft 在 2005 年推出内核补丁保护(PatchGuard)时,严重限制了杀毒软件和一些保护软件在驱动中使用内核hook(例如:sstdhook,I
wh_it_Z620bios_
10-01
5. **设备驱动**:BIOS提供了一些低级别的硬件驱动,使操作系统能够与硬件通信。 **惠普Z620 BIOS更新的重要性** 1. **错误修复**:新的BIOS版本可能包含对原有版本中错误的修正,提升系统稳定性。 2. **硬件支持*...
SP84162_HPZ820bios_锐步k84162_Z820_
09-29
标题“SP84162_HPZ820bios_锐步k84162_Z820_”所指的是一项针对HP Z820工作站的BIOS(基本输入输出系统)更新,版本号为3.9.2。这个更新通常由HP官方发布,旨在提高系统的稳定性和性能,或者修复已知的问题和漏洞。...
CPU双核智能补丁安装
08-11
3. **更新驱动**:在安装CPU补丁前,最好更新相关驱动程序,尤其是芯片组驱动,以确保最佳兼容性。 4. **遵循指导**:按照补丁程序的安装指南操作,不要跳过任何步骤。 5. **重启系统**:安装完成后,通常需要重启...
Z武器系统资源检测工具
01-20
"Z武器系统资源检测工具"是一款综合性的计算机管理软件,主要功能是硬件检测、系统漏洞扫描和修复以及系统清理优化。这款工具以其易用性和全面性,在个人用户和初级电脑爱好者中广受欢迎,尤其在出门选购或配置电脑...
HEVD-Python-Solutions:用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
05-04
HEVD-Python-解决方案 用于HackSysTeam Extreme漏洞驱动程序的Python解决方案
CUPz中文版本系统检测软件
03-25
Cpu-Z 是一款计算机的CPU检测软件。Cpu-Z适用于任意品牌和型号的监测工作,且检测的数据范围非常广泛、全面,将CPU涉及到的各个方面都以最直观的方式呈现给用户。在新版本中,Cpu-Z还添加了对内存和显卡等硬件部位的检测功能,需要的朋友快来下载吧。
linux usb 驱动漏洞,科学家发现26个USB漏洞:Linux有18个 Windows有4个
weixin_29768055的博客
05-13 131
近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。图片来自于 WiKiMedia这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合...
CPU漏洞利用全过程
1
07-24 1767
今年年初公布于众的CPU漏洞危机仍在持续发酵,近日有安全人员再次发现漏洞的变种,并因此获得英特尔10万美元奖励。但不少用户对该漏洞却产生“狼来了”的错觉:第一,尽管"Spectre"影响了大量的用户,但它能否在实际的攻击中产生危害?第二,截至目前仍然没有一例利用该漏洞发起攻击的事件汇报。 腾讯安全玄武实验室打破了这个错觉。在7月21日“2018看雪峰会”上,实验室高级研究员宋凯首度分享了如何在浏...
CPU漏洞解释
公众号shadow sock7
01-24 894
## Spectre > 根源在于CPU的『推测执行』。 场景: ``` if (a =1 ){     a1(); } else {     b(); } ``` 原本,对于各个进程来说,某个进程是无法访问其他进程的内存的。 CPU速度太快,RAM跟不上CPU的节奏。CPU在碰到分支语句需要进行条件判断的时候,CPU等不及要执行下去了(不执行的话就只能休息,浪费了C
Intel Wi-Fi驱动漏洞分析
MachineGunJoe666
04-28 324
背景:Intel Wi-Fi芯片广泛应用于个人笔记本电脑产品,如ThinkPad、Dell笔记本等。2020年,ZDI组织披露了Intel无线网卡Windows驱动程序中存在CVE-2020-0557和CVE-2020-0558漏洞。其中,CVE-2020-0557的CVSS v3.0评分为8.1分,CVE-2020-0558的CVSS v3.0评分为8.2分。通过这两个漏洞,攻击者可以在受害者电脑中远程执行任意代码。 CVE-2020-0558漏洞分析 1漏洞原理 当AP热点处理Assoc.
戴尔修复已存在12年之久的驱动漏洞,影响数百万个人电脑
smellycat000的专栏
05-06 671
聚焦源代码安全,网罗国内外最新资讯!编译:奇安信代码卫士戴尔修复了一个已存在12年之久的漏洞,它影响数百万台戴尔桌面、笔记本电脑、平板,该漏洞编号为 CVE-2021-21551,影响D...
某软件驱动任意地址写任意数据漏洞
深度技术安全
11-17 1163
感觉现在这种漏洞比较突出。METHOD_NEITHER中的输出buf为什么长度为0的时候要开发者自己去检查buf长度合不合理。 虽然没去看windows源码,但是,个人感觉一个正常的用户有两种情况: 1、buf长度为0,对应的驱动例程确实也没有输出 2、buf长度不为0,对应的驱动例程确实有输出。 当一个恶意的ring 3程序,朝2发DeviceIoControl(。。。,OutputBu
e3-1245v3 在CPU-Z 的 跑分多少
05-03
作为一个语言模型AI,我无法直接获取硬件信息或运行任何程序,也没有具体的CPU-Z跑分数据。但是我可以告诉你,E3-1245v3是英特尔的一款处理器,属于Haswell微架构,采用22纳米工艺,拥有4个物理核心和8个线程,基础...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值