보호되어 있는 글입니다.
Windows 인증 과정1 (개요) : http://tribal1012.tistory.com/221Windows 인증 과정2 (로컬) : http://tribal1012.tistory.com/222------------------------------------------------------------------------------------------------------------------------------------------- SPNEGO(Simple and Protected GSS-API Negotiation Mechanism) GSS-API를 사용하기 위해 협상하는 메커니즘이다. 절차에 따라 무사히 협상되게 되면 서버와 클라이언트는 서로가 같은 GSS(General Security S..
Windows 인증 과정2 (로컬) : http://tribal1012.tistory.com/222Windows 인증 과정3 (원격) : http://tribal1012.tistory.com/223-------------------------------------------------------------------------------------------------------------------------------------------Windows 인증 과정(좀 더 세세하게 수정 필요)로컬 또는 원격으로 Windows에 로그인LSA에 접근LSA에서 인증 패키지를 결정하고, 로그인에 필요한 자격 정보를 인증 패키지에 전달인증 패키지가 인증 여부 확인LSA에 인증 여부 전달성공적으로 인증되었다면, L..
LUID Process와 Thread 가질 수 있는 권한에 대한 64bit 크기의 식별자, Access Token의 정보에 포함되어 있다. LUID(Locally Unique IDentifier) 목록(line 번호가 LUID 값)1234567891011121314151617181920212223242526272829303132333435#define SE_CREATE_TOKEN_NAME TEXT("SeCreateTokenPrivilege")#define SE_ASSIGNPRIMARYTOKEN_NAME TEXT("SeAssignPrimaryTokenPrivilege")#define SE_LOCK_MEMORY_NAME TEXT("SeLockMemoryPrivilege")#define SE_INCREASE_..
Access Token이란? Access Token은 Windows에서 주체가 객체에 접근하기 위해 사용되는 일종의 접근 권한에 대한 정보이다. Linux의 owner, group, others에 대한 권한을 생각하면 조금 이해가 편해진다. Windows는 가장 높은 권한인 System 권한(Linux의 root 권한)과 사용자의 계정을 구별하기 위해 생성되는 계정 별로 SID(Security IDentifier)를 두고 관리된다. Access Token에 저장되는 정보(MSDN) :사용자 계정 SID(Security IDentifier)사용자가 멤버인 그룹의 SID현재 로그인한 세션을 식별하기 위한 SID사용자 또는 사용자 그룹이 가지는 권한 목록소유자 SID주요 그룹의 SID사용자가 Security ..
소스코드1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556#!/usr/bin/pythonfrom subprocess import *from time import sleepimport re def crash_logging(ps, pid, cause, ip, sp, error, ptr): with open("./crash_log.txt", "a") as fh: fh.write("=============================================\n") fh.write("Process : {0}\n".format(ps)) fh.write("PID : {0}\n"...
원본 : https://googleprojectzero.blogspot.kr/2018/01/reading-privileged-memory-with-side.html 어려운 단어를 어렵게 작성하여서 너무 어렵다... 번역 개판과 오타는 나중에 수정해야지--------------------------------------------------------------------------------------------------------------------------------- CPU 데이터 캐시 타이밍으로 예측 오류 실행을 악용하여 임의의 가상 메모리로부터 취약점을 통해 정보를 누출하도록 유도할 수 있다는 사실을 발견할 수 있었다. 이 취약점은 Intel, AMD 및 ARM의 특정 프로세서를 포함하여 ..
자바스크립트 코드(Function Hooking)12345678910111213141516171819202122232425var handle = Module.findExportByName("msvcrt.dll", "memset");//var handle2 = Module.findExportByName("WS2_32.dll", "send");var baseAddr = Module.findBaseAddress("msvcrt.dll"); console.log(">> Hooking Function
Device Driver- DEVICE_EXTENSION 구조체 : https://www.codeproject.com/Articles/8651/A-simple-demo-for-WDM-Driver-development- DEVICE_OBJECT 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware/ff543147(v=vs.85).aspx- IO_STACK_LOCATAION 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware/ff550659(v=vs.85).aspx- IRP 구조체 : https://msdn.microsoft.com/en-us/library/windows/hardware..