Никто не пробовал инжект в любой процесс ав и оттуда снимать дамп? Да к тому же, есть много других способов получить креды без лсасс.
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Статья Отключаем Windows Defender (+ UAC Bypass, + Повышение до уровня SYSTEM)
- Автор темы ioioio777
- Дата начала
KasperWAF
Гость
Не важно, с какого процесса, как и с каким уровнем доверия ты будешь его снимать. Открытие хендла лсасс/форк и открытие хендла/загрузка SSP плагина = бан
респектуха бро! хорошая работа
- Автор темы
- Добавить закладку
- #44
Спасибо всем за поддержку )
Не могу каждому ответить лично, так как будет слишком много флуда от меня.
И лайки тоже ставлю по возможности, есть ограничения на количество лайков в день
автору все же следовало указать первоисточники данного метода -
GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token privileges and lowering the token integrity
A small POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token...
github.com
GitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity
A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless...
github.com
Sandboxing Antimalware Products for Fun and Profit - Elastic Security Research
Elastic Security identifies Windows security feature bypass
elastic.github.io
- Автор темы
- Добавить закладку
- #46
автору все же следовало указать первоисточники данного метода -
GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token privileges and lowering the token integrity
A small POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token...github.comGitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity
A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless...github.comSandboxing Antimalware Products for Fun and Profit - Elastic Security Research
Elastic Security identifies Windows security feature bypasselastic.github.io
Если комментарий несёт под собой цель дать читателям пищу для размышлений - то спасибо , думаю многим это поможет разобраться.
Если комментарий написан с целью улечить меня в выдаче чужого кода за свой - прошу перечитать статью заново, там буквально в первом же абзаце написано, что метод уже известен сообществу и никакого велосипеда я не изобретал.
ioioio777
никто никого ни в чем не уличает. поскольку метод не твой, а ты лишь разработал вариацию применения и подробно ее описал, что есть отлично и за это тебе спасибо, в таком контексте стоит указывать оригинальный источник инфо который ты использовал в своем материале.
это не навредит а расширит полезную нагрузку твоей статьи !!!
никто никого ни в чем не уличает. поскольку метод не твой, а ты лишь разработал вариацию применения и подробно ее описал, что есть отлично и за это тебе спасибо, в таком контексте стоит указывать оригинальный источник инфо который ты использовал в своем материале.
это не навредит а расширит полезную нагрузку твоей статьи !!!
The best article so far! I'll vote for you
Software\\Classes\\ms-settings\\shell\\open\\command крайне заезженный и палевный метод повышения привлегий, который сработает разве, что при вызове через сисколлы (в случае натива) или же на malwarebytes, f-secure, так же хочу подметить, что UAC settings со значением 5 данный метод не обходит, это большой минус. В целом статья написана хорошо
До чего же просто, но в той же степени элегантно!
Не знал о токенах раньше, почему-то всегда проскакивал эту вкладку в PH :P, спасибо.
Интересно кто даёт процессу WD токены по-умолчанию (какой-нибудь родительский системный процесс, полагаю) и каким образом это происходит, вернее даже можно ли изменить это поведение превентивными правками или "вмешательством на ходу", вот тогда было бы весело..
p/s: Если не секрет фирмы, чем такие приятные диаграммки сделал?
Не знал о токенах раньше, почему-то всегда проскакивал эту вкладку в PH :P, спасибо.
Интересно кто даёт процессу WD токены по-умолчанию (какой-нибудь родительский системный процесс, полагаю) и каким образом это происходит, вернее даже можно ли изменить это поведение превентивными правками или "вмешательством на ходу", вот тогда было бы весело..
p/s: Если не секрет фирмы, чем такие приятные диаграммки сделал?
- Автор темы
- Добавить закладку
- #51
Диаграмки в figma.com
навыки моего дизайна - на уровне обезъяны) Тут всё по шаблонам за 10 минут делается
ТС, статья прекрасна, как и сам инструмент, огромная благодарность!
Касательно "Гмером вырезать" - есть куча скриптов которые убивают WinDef но из опыта скажу, почему-то не всегда срабатывает, так что дополнительный инструмент лишним не будет!
Вот бы еще софос обходить так)
Касательно "Гмером вырезать" - есть куча скриптов которые убивают WinDef но из опыта скажу, почему-то не всегда срабатывает, так что дополнительный инструмент лишним не будет!
Вот бы еще софос обходить так)
Написано доходчиво и текст выглядит качественно. Постарался, похвально. Надо проверить метод.
ioioio777 почему статья в конкурсе участвует, если это не оригинал, а просто видоизменённая копипаста?
Печально, а я уже поверил в оригинальность статьи.автору все же следовало указать первоисточники данного метода -
GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token privileges and lowering the token integrity
A small POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - pwn1sher/KillDefender: A small POC to make defender useless by removing its token...github.comGitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity
A small (Edited) POC to make defender useless by removing its token privileges and lowering the token integrity - GitHub - Octoberfest7/KillDefender: A small (Edited) POC to make defender useless...github.comSandboxing Antimalware Products for Fun and Profit - Elastic Security Research
Elastic Security identifies Windows security feature bypasselastic.github.io
ioioio777 почему статья в конкурсе участвует, если это не оригинал, а просто видоизменённая копипаста?
Последнее редактирование:
Автор об этом писал изначально
- Автор темы
- Добавить закладку
- #55
Так подожди, подмена понятий какая-то.
Что ты подразумеваешь под видоизменённой копипастой ?
Прочитай для начала статьи, на которые ты указываешь в качестве "копипасты"
1) Я не претендовал на первоисточник кода
2) Ни в одном из этих источников нет ни слова про реальное использование в бою. Там POC'и , которые нужно запускать руками от имени NT\SYSTEM от имени админа.
3) По твоей логике - сносим все статьи с конкурса, так как они не 0day)))) Оригинальная статья же - только первоисточник.
Кароче странное у тебя понимание оригинальности и "копипасты"
Может быть =) Не хотел задеть.
KasperWAF
Гость
На дефе гмер срабатывает всегда и без исключений, вероятно ты делаешь что то не так. Софоз сносится сейфбутом и парой методов попроще, с ним проблем не возникает.
Спасибо за ответ, хотел уточнить, в кратце, как на дедике можно выйти в безопасный режим?
Нашел только костыльные методы и пару скриптов, машины просто отваливаются из-за таких действий и сами уже не возвращаются в онлайн
KasperWAF
Гость
Всм как? Как всегда, через msconfig например
Только надо сначала termservice в network safeboot прописать, иначе точно отвалится