监测程序显示从WEBSHELL使用Win64.exe来提升权限
net 命令已 Local System 权限执行:
随后分析Win64.exe二进制发现,它利用了一个0day 提权成SYSTEM用户,然后创建具有这些访问权限的新进程来运行参数中的命令。该文件本身只有55千字节大小,只包含几个功能:
1. 创建一个存储部分,存储一个将被内核调用的函数指针,触发该漏洞。
2. 利用窗口管理器的内存破坏漏洞,模拟用户交互调用回调函数。
3. 把EPROCESS结构中的访问令牌指针替换为系统进程之一。
4. 以SYSTEM权限执行第一个参数中的命令。
下图演示了如何在cmd当中提升权限:
还没有评论,来说两句吧...