AP Security

#tools #pentest

📎 PoC CVE-2024-21338

Уязвимость CVE-2024-21338 была обнаружена специалистами Avast в драйвере appid.sys Windows AppLocker, о чем они сообщили Microsoft в августе прошлого года, предупредив, что уязвимость уже активно эксплуатируют злоумышленники.

🟡Подробнее об этой уязвимости написано в статье на Хакер.

Please open Telegram to view this post

VIEW IN TELEGRAM

GitHub

GitHub - Crowdfense/CVE-2024-21338: Windows AppLocker Driver (appid.sys) LPE

Windows AppLocker Driver (appid.sys) LPE. Contribute to Crowdfense/CVE-2024-21338 development by creating an account on GitHub.

❤‍🔥43⚡2👏2😎2🆒1

1.06K views05:01

AP Security

#tools #pentest

🪆

TrickDump ( lsass dump)

TrickDump генерирует дамп процесса lsass без создания файла Minidump, вместо этого генерируя 3 JSON и 1 ZIP файл с дампами областей памяти. В три шага:

🟥Получение информации об ОС с помощью RtlGetVersion.

🟥Получение привилегии SeDebugPrivilege с помощью NtOpenProcessToken и NtAdjustPrivilegeToken, открытие хэндла с помощью NtGetNextProcess и NtQueryInformationProcess, а затем получение информации о модулях с помощью NtQueryInformationProcess и NtReadVirtualMemory.

🟥Получение привилегии SeDebugPrivilege, открытие хэндла, а затем сбор информации и дампа областей памяти с помощью функций NtQueryVirtualMemory и NtReadVirtualMemory.

Узнать о других подходах и нюансах работы с процессом lsaas можно в следующей статье.

Please open Telegram to view this post

VIEW IN TELEGRAM

GitHub

GitHub - ricardojoserf/TrickDump: Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump…

Dump lsass using only NTAPI functions creating 3 JSON and 1 ZIP file... and generate the MiniDump file later! - ricardojoserf/TrickDump

8❤4✍3🤨1😴1

845 views08:57

About

Blog

Apps

Platform