项目地址

https://github.com/ZeroMemoryEx/Handle-Ripper

• 句柄劫持是 Windows 操作系统中使用的一种技术，可以在未经许可的情况下访问系统的资源和资源。这是一种权限升级攻击，恶意用户控制对象句柄，对象句柄是用于引用系统对象（例如文件、目录、进程或事件）的标识符。这允许恶意用户访问他们应该无法访问的资源。

• 句柄劫持是对系统安全的严重威胁，因为它允许恶意用户访问本应受到保护的资源和数据。它还可用于将代码注入易受攻击的系统，使攻击者能够访问信息和资源。

• 随着黑客开发更复杂的方法来利用 Windows 系统中的漏洞，句柄劫持技术变得越来越普遍。因此，系统管理员了解与 handle 劫持相关的风险并采取主动措施保护他们的系统非常重要。

细节

• 要执行句柄劫持攻击，攻击者必须首先识别合法进程正在使用并且他们想要访问的句柄。这可以使用各种技术来完成，例如扫描进程的句柄表，监视句柄创建事件，或者使用可以枚举系统上句柄的工具，一旦攻击者确定了他们想要访问的句柄，他们就可以使用DuplicateHandle使用自己的进程创建句柄副本的函数。此函数采用以下参数：

  • hSourceProcessHandle：包含源句柄的进程句柄。
  • hSourceHandle: 要复制的对象的句柄。
  • hTargetProcessHandle：接收重复句柄的进程句柄。
  • lpTargetHandle：指向接收句柄值的变量的指针。
  • dwDesiredAccess：重复句柄的访问权限。
  • bInheritHandle: 指定句柄是否可继承的值。
  • dwOptions：句柄复制的附加选项。

• 该DuplicateHandle函数将创建一个具有指定访问权限和选项的新句柄，并在lpTargetHandle参数中返回它。然后，攻击者可以使用此句柄访问它所代表的资源，从而允许他们对资源执行他们通常无法执行的操作。

视频演示

 

标签：工具分享, 主机安全, 句柄劫持