ATT&CK系列之提权篇

已于 2024-08-12 21:11:37 修改
阅读量280 收藏 5
点赞数 4
分类专栏: ATT&CK 文章标签: 安全 网络安全 系统安全
于 2024-08-08 22:07:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yindeyue/article/details/141035954
版权

        该篇主要介绍攻击队常用提权技术和工具,通过提权技术,可以执行更多恶意操作,可以使用更多持久化手段

1. 滥用系统提供的权限提升机制

1.1 Setuid和Setgid

错误的设置标志位,导致权限提升漏洞

1.2 绕过UAC

UAC是windows上一种权限控制机制,可以使用一些方法绕过UAC

1.3 sudo

1.4 提示提权

AuthorizationExecuteWithPrivileges 

1.5 临时提升云访问权限

1.6 TCC操作

2. 操纵访问令牌

2.1 令牌的偷取或模拟

复制令牌,以盗取令牌身份创建进程

2.2  使用指定令牌创建进程

CreateProcessWithTokenW RunAs

2.3 创建令牌

LogonUser SetThreadToken 

2.4 父pid欺骗

2.5 SID历史注入

3. 操纵账户

3.1 额外的云凭证

3.2 额外的电子邮件权限

3.3 额外的云角色

3.4 SSH授权

通过修改authorized_keys,实现免密登录

3.5 MFA设备注册

3.6 额外的集群容器角色

4.启动或登录后自动执行的程序

参考文章:ATT&CK系列之持久化篇-CSDN博客

5. 启动或登录后自动执行的脚本

参考文章:ATT&CK系列之持久化篇-CSDN博客

6. 创建或修改系统进程

参考文章:ATT&CK系列之持久化篇-CSDN博客

7. 域或租户策略修改

7.1 组策略修改

7.2 域信任关系修改

8. 容器逃逸

利用容器文件系统挂载,利用容器特权命令等逃离容器环境,在主机上执行恶意代码

9. 事件触发执行

参考文章:ATT&CK系列之持久化篇-CSDN博客

10.权限升级漏洞利用

11. 劫持执行流

参考文章:ATT&CK系列之持久化篇-CSDN博客

12.  进程注入

12.1 动态链接库注入

将恶意代码写在dll等文件中,使用远程线程等多种手段,将dll注入进程后,dll中代码的权限就是被注入进程的权限

12.2 PE文件注入

12.3 线程执行注入

挂起进程原有线程,创建或修改新的可执行代码,恢复线程执行恶意代码

12.4 异步过程注入

12.5 本地线程存储回调

12.6 Ptrace系统调用

12.7 Proc虚拟文件系统

12.8 额外的窗口内存注入

利用GUI程序注册窗口类时指定的额外内存

12.9 傀儡进程

以挂起方式创建进程,重新映射需要的dll,和恶意代码后再恢复进程运行,外观看到的进程信息和事件运行的代码不相同,可以规避部分安全软件的检测

12.10 从内存拷贝恶意代码执行

利用文件事务机制,恢复文件合法内容。创建新进程,拷贝内存中保留的恶意代码并执行

12.11 VDSO 注入

12.12 列表控件植入

 SendMessage LVM_SETITEMPOSITION,LVM_GETITEMPOSITION ,LVM_SORTITEMS 

13. 计划任务

参考文章:ATT&CK系列之持久化篇-CSDN博客

14. 合法的账户

 

YinCircle
关注
专栏目录
msf实战提权windows_ATT&CK实战 | 红队评估一(上)
weixin_39862697的博客
11-21 62
—————— 昨日回顾 —————— 红日安全出品|转载请注明来源
ATT&CK系列之侦测
yinCircle的博客
07-29 673
主要介绍ATT&CK相关的技术,后续会针对不同的安全点开源不同的安全工具
ATT&CK系列之防御规避
yinCircle的博客
08-15 869
主要介绍攻击队常用的防御规避技术和工具,通过防御规避,可以最大程度的规避被杀毒软件,EDR,IDC,IPC等检测到,延长恶意代码存续时间。
初识ATT&CK
m0_38103658的博客
05-12 2775
初识ATT&CK框架 前言: ATT&CK这一概念自2014年提出时起,作为安全分析领域中的前沿研究一直在默默地发挥着自己的影响,但是由于其概念在当时过于超前以至于并没有引起多大反响,直至2019年的红蓝对抗赛这才把ATT&CK框架重新推回到了安全圈的C位上,接下来的三期内容,美创安全实验室将为大家带来ATT&CK模型的独家解读,好了,废话不多说Let‘s go! 但是要是想完全弄懂ATT&CK模型到底是什么,那么有一个相关概念以及问题必须要先弄懂。还请大家耐心看完。
ATT&CK技术介绍
yinCircle的博客
08-28 888
ATT&CK介绍
红日安全vulnstack-ATT&CK实战系列 红队实战(一)
热门推荐
遇事不决冲冲冲
12-25 1万+
一.介绍 vulnstack官网下载地址,也是拿百度网盘下载的,这里也放一个链接提取码: i7xv 官方靶机说明: 红队实战系列,主要以真实企业环境为实例搭建一系列靶场,通过练习、视频教程、博客三位一体学习。另外本次实战完全模拟 ATT&CK攻击链路进行搭建,开成完整闭环。后续也会搭建真实 APT 实战环境,从实战中成长。虚拟机所有统一密码:hongrisec@2019 整体思路 信息收集发现yxcms框架的网页,通过漏洞利用get到shell,拿cs控制后进行内网信息收集以及横向移动,最终用窃
Vulnstack内网靶场渗透(ATT&CK实战系列-红队评估(七))
DG_s1mple
04-18 6496
这么久没打vulnhub全是因为在吃这一套内网靶场(绝对没有在摸鱼 ),现在把我的思路写下来 前言 这是Vulnstack里的一套靶场,ATT&CK实战系列-红队评估(七) 这是靶场的链接:http://vulnstack.qiyuanxuetang.net/vuln/detail/9/ 网络环境 整个靶场环境一共五个靶机(总共27.8 GB),分别位于三层网络环境中: DMZ区IP段为192.168.1.1/24 第二层网络环境IP段为192.168.52.1/24 第三层网络环境IP段为192
ATT&CK实战系列-从web打点到内网渗透
weixin_53884648的博客
10-14 1819
从搭建环境到shell连接,我们从外网到达内网,从内网cs上线,到横向移动,派生等
红日安全ATTCK靶机实战系列之vulnstack2
黑白的博客
04-16 6829
typora-root-url: pic\ATTCK靶机实战系列——vulnstack2 声明 好好学习,天天向上 环境配置 下载地址,直接进去用百度云,没有会员也下的非常快 http://vulnstack.qiyuanxuetang.net/vuln/detail/3/ 边下载着,可以开始vmware的网络配置 下图为官方给出的,从虚拟机网络来看,好像和vulnstack1差不多啊,DMZ区就是边界 192.168.239.1/24就是外网,10.10.10.1/24就是内网 攻击者Interne.
ATT&CK实战系列——红队实战(二)
Demonering的博客
02-23 5162
环境配置 首先在VMware->编辑->虚拟网络编辑器里 更改子网ip为192.168.111.0 环境说明 DC IP:10.10.10.10 OS:Windows 2012 WEB(初始的状态默认密码无法登录,切换用户 de1ay/1qaz@WSX 登录进去) IP1:10.10.10.80 IP2:192.168.111.80 OS:Windows 2008 PC IP1:10.10.10.201 IP2:192.168.111.201 OS:Windows 7
ATT&CK随笔系列之二:偷天陷阱
xhlylxhl的博客
10-22 3079
“右脑知攻、左脑知防”是 ATT&CK 随笔系列第一,如果上天能给我机会让读者记住一个关键词,我选择“假定失陷(assume breach)【1】”,如果非要为她做点什么,希望是检测“黑客行为(TTP)”。 这两个关键词是 ATT&CK 出现和被迅速认可的核心动因, ATT&CK 建立了“知攻”通向“知防”的桥梁,安全行业经由白帽子黑客为了“知防”而“知攻”,演进到基于...
ATT&CK实战|Vulnstack 红队(一)
blue_fantasy的博客
01-11 601
Text. 前期准备: http://vulnstack.qiyuanxuetang.net/vuln/detail/2/下载虚拟机 配置环境需要两张仅主机模式开启的网卡 构造这样的内网环境,Kali和Win7的外网IP处于同一网段,可以进行攻击,而Win7还有内网网段,通过拿下Win7机器继续攻击其处于内网同一网段的Win2003及其域控服务器。 首先登录Win7开启phpstudy,登陆密码hongrisec@2019,所有虚拟机密码都是这个。 复现: 因为在kali和win7在同
ATK&CK1红队评估实战靶场Vulnstack之第一环境介绍和搭建
千寻的博客
07-21 931
文章目录靶机介绍靶机下载地址靶机背景靶机实战思路一、环境搭建二、漏洞利用三、内网搜集四、横向移动五、构建通道六、持久控制七、痕迹清理靶机环境拓扑环境搭建靶机环境地址WEB服务器:windows7系统域成员:windows server 2003系统![在这里插入图片描述](https://img-blog.csdnimg.cn/img_convert/fa957b0ccc538bf989301bbf270eda7c.png)域控服务器:windows server 2008系统攻击机器:kali 2021环
部标主动安全(ADAS+DMS)对接说明
谁念西风独自凉
09-27 644
上一介绍了,这里说一下如何对接主动安全附件服务器。流媒体的对接主要牵扯到4个方面:(1)平台端:业务端系统,包含前端呈现界面。(2)JT/T808网关:部标设备接入网关,这个是非常重要的,是设备与平台进行数据交换的桥梁,流媒体相关的指令操作也必须依赖它完成。(3)部标视频机:符合JT/T808协议的车载视频机器。(4)流媒体服务:符合苏标、粤标、川标、陕标协议的主动安全附件服务,接收文件流,并存储。
Splashtop 加入 Microsoft 智能安全协会
SplashtopLoki的博客
09-27 527
Splashtop 的 Foxpass Cloud RADIUS 可提供精确的访问控制,保护 Wi-Fi 网络免受未授权用户和网络攻击的侵害,Foxpass 因其流畅的用户体验和强大的安全性而广受认可。MISA 由独立软件供应商(ISV)和托管安全服务提供商(MISA)组成,他们将其解决方案与 Microsoft 安全技术集成,以更好地保护我们共同的客户免受日益增长的网络威胁。MISA 的使命是提供行业领先的智能安全解决方案,在安全威胁不断增加的情况下,以 AI 的速度和规模保护组织安全
【注册/登录安全分析报告:孔夫子旧书网】
weixin_46641057的博客
09-27 1193
孔夫子网简称孔网,创建于2002年,是大型的二手旧货、古旧图书和商品交易平台,是传统文化行业结合互联网而搭建的C2C平台,是有传统文化价值的旧货市场。网站主要板块是书店区和拍卖区。网站秉承“网罗天下图书,传承中华文明”的理念,致力于发掘、抢救、保护和传播中国传统文化资源。作为旧古书二手市场平台的“独角兽”企业, 技术实力也应该不错,但采用的还是老一代的图形验证码已经落伍了, 用户体验一般,容易被破解, 一旦被国际黑客发起攻击,将会对老百姓形成骚扰,影响声誉。
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。
最新发布
weixin_64446270的博客
09-27 1303
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架。它是 Spring 项目家族的一员,用于构建安全的 Java 应用程序。Spring Security 提供了全面的安全服务,从基本的登录认证到复杂的访问控制,几乎涵盖了所有与安全相关的需求。
构建与运营企业内部ATT&CK框架
"本文档主要讨论了如何在企业内部建立和运营ATT&CK框架,以及其更新和路线图。ATT&CK是由MITRE创建的一种基于已知攻击技术的知识库,旨在帮助组织理解和防御高级持续性威胁(APT)的攻击手法。文档提到了ATT&CK的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值