windows defender的dll劫持、打印机提权漏洞、dll-merger
[文章推荐]OBJECT OVERLOADING(对象重载)
文章看点:通过NtSetInformationProcess函数来修改进程运行时的DosDevices的对象目录,来改变进程运行时dll的加载目录,从而实现dll劫持。区别于传统的dll劫持技术,此方法是在程序运行后修改程序环境变量中的dll加载目录来实现的dll劫持,它无法作为权限维持使用,但是能作为一种白加黑的免杀手法使用。
推送亮点:此文章通过理论配合实践,详细介绍了Windows的对象重载原理,并通过对象重载实现了对windows defender的dll劫持,通过此文章,读者可以自己去复现整个攻击手法。
原文链接:https://www.trustedsec.com/blog/object-overloading/
[漏洞播报] CVE-2022-21999(打印机提权漏洞)
漏洞概述:打印机本地提权漏洞,在目标主机有spoolsv.exe进程的情况下,能获取到system权限。
推送亮点:此漏洞是去年打印机提权漏洞Printnightmare的续集。
原文链接:https://github.com/ly4k/SpoolFool
[安全工具] dll-merger
功能描述:将dll和32位的exe文件进行合并,区别于传统的LoadLibrary方式,通过在exe的pe结构中添加.dlls和.ldr段,实现自动加载dll。
推送亮点:制作好一个免杀dll后,方便通过正常的exe来加载此免杀dll,大大方便了钓鱼马的制作,但是目前只支持32位的程序。