IT之家 8 月 24 日消息,安全研究人員近日研發了名為 NoFilter 的工具,通過濫用 Windows 篩選平臺(WFP),可以將用戶權限提升到 SYSTEM 級別(Windows 上的最高權限級別)。
IT之家注:Windows 篩選平臺 (WFP) 是一組 API 和系統服務,提供用于創建網絡篩選應用程序的平臺。
WFP API 允許開發人員編寫與在操作系統網絡堆棧中的多個層發生的數據包處理進行交互的代碼,可以在網絡數據到達目標之前對其進行篩選和修改。
網絡安全公司 Deep Instinct 的研究人員開發了三種新的攻擊方法,在不留下太多痕跡、且不會被主流安全產品檢測到的情況下,提升用戶在 Windows 設備上的權限。
第一種方式使用 WFP 來復制訪問令牌(用于識別用戶權限的代碼),通過調用 NtQueryInformationProcess 函數獲取訪問令牌,然后再復制到要執行的任務中。
第二種技術涉及觸發 IPSec 連接并濫用 Print Spooler 服務,然后將 SYSTEM 令牌插入到表中。
該工具使用 RpcOpenPrinter 函數按名稱檢索打印機的-handle。通過將名稱更改為“\127.0.0.1”,服務將連接到本地主機。
調用 RPC 之后,檢索 WfpAleQueryTokenById 的多個設備 IO 請求,從而獲取 SYSTEM 令牌。
第三種技術獲得登錄到受損系統的另一個用戶的令牌,操縱用戶服務。
研究人員表示,如果可以將訪問令牌添加到哈希表中,則可以使用登錄用戶的權限啟動進程。
他查找以登錄用戶身份運行的遠程過程調用(RPC)服務器,并運行一個腳本來查找以域管理員身份運行的進程,并公開一個 RPC 接口。
研究人員濫用了 OneSyncSvc 服務和 SyncController.dll,從而使用登錄用戶的權限啟動任意進程。
以下是幾種遠程控制另一個電腦的方法
一、Windows遠程桌面:
1、確保被控制的電腦已經啟用了遠程桌面功能。
2、在控制電腦上打開“遠程桌面連接”應用程序。
3、輸入被控制電腦的IP地址或計算機名,并點擊“連接”按鈕。
4、輸入被控制電腦的用戶名和密碼,然后點擊“確定”按鈕。
5、等待連接成功后,你就可以在控制電腦上遠程控制被控制電腦了。
二、第三方遠程控制軟件:
1、有許多第三方遠程控制軟件可供選擇,例如TeamViewer、AnyDesk、Chrome遠程桌面等。
2、在控制電腦和被控制電腦上都安裝并打開相同的遠程控制軟件。
3、在控制電腦上輸入被控制電腦的ID或IP地址,并點擊“連接”按鈕。 - 在被控制電腦上確認連接請求。
4、連接成功后,你就可以在控制電腦上遠程控制被控制電腦了。
三、Web遠程控制:
1、一些遠程控制軟件提供Web版的遠程控制功能。
2、在控制電腦和被控制電腦上都打開支持Web遠程控制的軟件。
3、在控制電腦上登錄到Web遠程控制界面。
4、輸入被控制電腦的ID或IP地址,并點擊“連接”按鈕。
5、在被控制電腦上確認連接請求。
6、連接成功后,你就可以在控制電腦上通過Web界面遠程控制被控制電腦了。
拓展:
windows自帶的遠程桌面,比較便利的一點是不需要額外安裝,在局域網內很方便,如果不在局域網里邊,就需要給遠程的主機分配一個公網ip,或者將地址的3389端口映射到公網上方可訪問。下面開始以windows10電腦舉例
1、此電腦-右鍵“屬性”-遠程設置,然后如圖中勾選設置,允許遠程連接
2、選擇用戶-添加一個用戶到遠程桌面組(建議添加administrator用戶,權限較高)
3、Remote Desktop Services服務是否開啟,如果是停止狀態,需要設置為啟動。
4、客戶端想連接剛才設置好的電腦,使用快捷鍵win+R,輸入”mstsc”調出遠程桌面界面
5、調出遠程桌面界面后,輸入遠程主機的IP地址,輸入用戶和密碼,就可以實現遠程控制了。
請點擊輸入圖片描述(最多18字)