怎么抓取计算机窗口,又学会了一种黑别人电脑的方法——如何在登录界面获取shell...

界面获取shell..."/>

怎么抓取计算机窗口,又学会了一种黑别人电脑的方法——如何在登录界面获取shell...

原标题：又学会了一种黑别人电脑的方法——如何在登录界面获取shell

首先

小编谨代表漏洞银行

欢迎刚加入行长叠报的一大波小可爱

最近

小编也在积极组织活动

为大家辞旧迎新做准备

还有三天就到2018了

就让我们携手并进，共赴新年

Inception

Inception是由Carsten Maartmann-Moe开发的可以攻击多个DMA硬件的一款工具，可以攻击包括Firewire、Thunderbolt、ExpressCard、PC-Card和PCI /PCI- e接口等硬件。

该工具可以通过内存补丁来解锁并在各个Windows、Linux、Mac OS X平台上实现提权。不过，解锁命令取决于目标系统的版本，并且不同系统签名也会有所不同。

PCILeech

Ulf Frisk开发的PCILeech工具能够通过注入内核模块实现内存转储，它使用PCI-Express总线，可达到超过 150 MB / s的速度，并且可以对超过32位地址范围的部分进行转储。一旦成功注入内核模块，我们可以访问到系统shell、挂载远程文件系统。

PCILeech具有“签名”文件，可以通过修补DLL文件来解锁特定版本的Windows，Windows Vista / 8上修改msv1_0.dll 文件，在win10上修改NtlmShared.dll文件。类似于Inception，内核模块和签名依赖于具体Windows版本，并且缺少32位 Windows 7版本的签名。

由于前面2个工具依赖于特定版本操作系统相关的签名，我们一直在寻找一种可以在所有Windows版本上工作的通用签名。

测试环境

软件：

可在Linux上运行的PCILeech

Radare2

硬件 ：

USB3380

FPGA + USB模块

测试目标：

Windows 10(成功)

Windows Server 2016(成功)

Windows 7(成功)

Windows Server 2008 R2(成功)

攻击winlogon.exe

在Windows登录界面活动SYSTEM权限 shell 的简单方法是替换winlogon.exe程序调用的二进制文件。以下是这些二进制文件的部分列表：

sethc.exe

utilman.exe

osk.exe

magnify.exe

于是我们对winlogon.exe二进制文件进行了快速的静态分析，想要发现这些程序是如何启动的。我们查找了对Windows API函数CreateProcess的引用：

然后对sub.KERNEL32.dll_CreateProcessW_308函数进行了反汇编，找到了对sethc.exe二进制文件的调用方法，这个“粘滞键”小程序可以通过按5次SHIFT键调用：

格式字符串sethc.exe％ld看起来很有趣，在0x100032471处移动到r8，我们在winlogon进程转储中搜索它。

内存转储分析

在分析运行中的winlogon进程的核心转储时，我们搜索了这个格式字符串。在分析Windows Server 2016时，我们在进程转储的第一个128MB范围内中找到了这个字符串：

创建PCILeech签名文件

创建PCILeech签名是相当简单的任务，文档可以在PCILeech项目的signature_info.txt文件中找到。

修补程序签名的目的是找到sethc.exe％ld unicode字符串，并将其替换为Windows命令shell cmd.exe。这个技巧类似于通过cmd.exe替换sethc.exe可执行文件的提权方法。

但是，这种方法会改变系统的完整性，不适用于加密环境。因此，我们的补丁签名看起来像这样：

*,730065007400680063002E00650078006500200025006C006400000000000000730065007400680063002E006500780065,0,-,r0,63006D0064002E0065007800650000000000200025006C00640000000000000063006D0064002E00650078006500000000

* 意味着搜索每个内存页面

730065007400680063[SNIP]002E006500780065是跟在sethc.exe后面的sethc.exe％ld待搜索unicode字符串

“0和-”意味着我们不必去寻找另一个块代码

r0 是补丁应用的相对偏移量

3006D0064002E00650[SNIP]0078006500000000是通过cmd.exe替换sethc.exe的补丁程序

内存修改

使用签名文件，我们只需要运行pcileech的patch子命令：

但是，使用我们的硬件(USB3380开发板)，只能访问有限的内存(大约3500 MB)。换句话说，只有当搜索到的字符串位于这个存储区并且具有读/写权限时，该补丁才能工作。

如果没有以上条件，我们还可以：

将目标上的物理内存量减少到4G甚至2GB：不是在任何情况下可行，但可以增加可靠性；

重启系统之后再次尝试，期望进程能够映射到预期的内存区域(这不是一个理想的解决方案，但是在我们的实验中可以成功)。

购买更好的硬件：Ulf Frisk建议使用Xilinx SP605 FPGA开发板，使用FTDI FT601 USB3 UMFT601X-B附加板，该附加板允许执行完全内存转储(没有任何限制)。

补丁成功，我们通过从登录屏幕点击五次SHIFT键就可以获得一个SYSTEM shell 。

PoC视频

长夜将至

我将从今开始守望

我将不求富贵，不争荣宠

我将尽忠职守，生死于斯

我是黑暗中的利剑，80端口的铁卫

我是抵御DDoS的烈焰

破晓时分的光线

唤醒AntiVir的号角

我将生命与荣耀献给信息安全

今夜如此

夜夜皆然

更多精彩

*IDEA值得分享 | 转载注明出处返回搜狐，查看更多

责任编辑：