工具介绍
https://training.zeropointsecurity.co.uk/courses/offensive-driver-development命令和功能
KBlast 命令可分为四类,必须将其添加到实际命令的前面(通用命令只需键入即可立即运行)。类别可以是:
process(内核端进程交互)protection(PPL保护)token(令牌管理)callback(内核回调)blob(内存读取/写入)misc(杂项功能)
我认为构建这个工具而不是写下备忘单是一种更好的方法,既可以将学到的概念付诸实践,又可以为社区提供全面的学习资源。
__ __ ____ __ __//_// __ )/ /___ ______/ /_ | KBlast client - OS Build #19045 - Major version #10,< / __ / / __ `/ ___/ __/ | Version : 1.1 ( first release ) - Architecture : x64/| |/ /_/ / / /_/ (__ ) /_ | Website : http://www.github.com/lem0nSec/KBlast|_/_____/_/__,_/____/__/ | Author : < lem0nSec_@world:~$ >------------------------------------------------------->>>KBlast ] --> helpCommands - ' generic ' ( generic commands. Do not initiate kernel interactions )help: Show this helpquit: Quit KBlastcls: Clear the screenbanner: Print KBlast bannerpid: Show current pidtime: Display system timeversion: Display system version information!{cmd}: Execute system commandExamples:No example is available for ' generic ' commandsKBlast ] -->
例子
以下屏幕截图显示了高完整性 powershell 令牌与系统级令牌(系统进程 pid 4)的交换。
以下截图显示了 mimikatz PPL 到 LSA 的提升,Mimikatz 现在被授予对 lsass 的读取访问权限。
下载地址
https://github.com/lem0nSec/KBlast
原文始发于微信公众号(Hack分享吧):KBlast!Windows内核攻击工具集
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论