refiaa/GreedyPlasma

# GreedyPlasma 基于 [`GreenPlasma`](https://github.com/Nightmare-Eclipse/GreenPlasma) 的脚本。 `green.cpp` 保留了原始的漏洞原语，同时尝试使流程更具可观察性，并减少对硬性停止的依赖。该代码应被视为一个面向实验性 PoC 的测试套件，而不是一个有保证的端到端漏洞利用链。 ## 本分支尝试实践的内容 在宏观层面上，该代码尝试： * 显式解析所需的 native API，并报告不同的故障点。 * 创建原始原语使用的会话对象管理器链接。 * 触发目标侧的 section 创建路径，并通过基于超时的轮询等待生成的 section。 * 捕获 section 证据，包括被授予的访问权限、映射模式、精简的前缀转储以及一个小的指纹。 * 尝试进行 `NtMapViewOfSection` 映射，并在可能的情况下从 RW 优雅降级到 RO。 * 通过 `GpRunEvidence` 跟踪注册表转换状态和桌面计时指标。 * 使用 `GP_CACHE_LAYOUT_HYPOTHESIS` 对 ALPC 路径字段应用假设性结构突变。 * 通过一个共享流程路由后续的 sink 检查，从而使 ALPC 捕获、shell 启动、DLL 加载和直接代码执行尝试不再是孤立的占位符调用。 ## 当前 sink 面 sink 层有意设计为面向状态的。每个 sink 返回一个 `GpBlockedSinkResult`，包含一个实现标志、一个前置条件状态和一个简短的原因字符串。 根据运行时前置条件和请求的选项，当前代码可以尝试以下操作： * 通过伪造的服务器端口进行 ALPC token 捕获。 * 使用捕获的主 token 通过 `CreateProcessAsUserW` 启动进程。 * 使用捕获的 token 通过 `rundll32.exe` 尝试加载 DLL。 * 在模拟捕获的 token 时进行进程内直接入口点调用。 这些路径是有条件的。它们取决于：section 突变对实际目标侧布局是否有意义；ALPC 客户端是否在超时窗口内连接；捕获的 token 在当前会话中是否可用；以及 Windows 策略/安全状态是否允许后续操作。 ## 这不能证明什么 本分支并未声称完整漏洞利用链在所有系统上都能成功。特别是： * `GP_CACHE_LAYOUT_HYPOTHESIS` 仍然是一个假设，而不是经过验证的 schema。 * 桌面计时被用作观察信号，而不是目标消耗了突变状态的证明。 * ALPC 捕获取决于运行时消息流和模拟权限。 * DLL 路径使用 `rundll32.exe` 样式的调用，因此请求的 DLL 必须公开一个兼容的入口点，该路径才有意义。 * 直接代码执行需要当前进程中的有效可执行地址，并且不对被调用函数做出广泛的安全保证。 ## 与原始方向的差异 与基础 PoC 方向相比，当前版本添加或更改了： * 显式的 API 解析，具有独立的故障点隔离。 * 基于超时的 section 轮询，以防止挂起。 * 记录 `GrantedAccess` 和映射模式，以捕获读/写能力的证据。 * 基于 `NtMapViewOfSection` 的映射，具有从 RW 到 RO 的降级机制。 * 减小的默认内存转储大小，辅以简明的 section 指纹。 * 在 `GpRunEvidence` 中聚合注册表、桌面、映射、ALPC 和 sink 状态。 * 通过解析的命令行选项配置 sink 请求，而不是硬编码的占位符调用。 * 针对 token 支持的 sink 的共享前置条件处理。 ## 开发状态 该代码仍为 WIP（进行中）。当前的意图是使流程更容易进行静态检查，并在受控研究环境中运行时更容易推演，同时保持失败状态明确化，而不是默认静默假设成功。

标签：0day挖掘, ALPC, ALPC提权, API接口, C++, Conpot, GreenPlasma, NtMapViewOfSection, PoC, Red Team, SSH蜜罐, Web报告查看器, Win32 API, Windows安全, 代码执行, 令牌模拟, 令牌窃取, 会话隔离, 内存破坏, 内核安全, 凭据访问, 协议分析, 安全绕过, 对象管理器, 开源安全工具, 数据擦除, 暴力破解, 本地提权, 权限提升, 概念验证, 漏洞复现, 红队武器化, 进程注入, 逆向工程平台