Please open Telegram to view this post
VIEW IN TELEGRAM
#Article #ReverseEngineering #Kernel
در ادامه آموزش های مربوط به دیباگ کردن کرنل، یک آموزش جدید اینبار از نویسنده دیباگر معروف x64dbg تحت عنوان آنپک کردن درایور کرنل .
ابزارهای استفاده شده :
x64dbg
CFF Explorer
Visual Studio (optional)
🌐 Website
Telegram Channel : @securebyte
Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
در ادامه آموزش های مربوط به دیباگ کردن کرنل، یک آموزش جدید اینبار از نویسنده دیباگر معروف x64dbg تحت عنوان آنپک کردن درایور کرنل .
ابزارهای استفاده شده :
x64dbg
CFF Explorer
Visual Studio (optional)
🌐 Website
Telegram Channel : @securebyte
Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
#Article #Exploiting #Linux #Kernel
📗 Linux Kernel Exploitation 0x1 - Smashing Stack Overflows in the Kernel
Hi folks this blog post is part of a series in which I'm running through some of the basics when it comes to kernel exploit development for Linux. I've started off the series with a walk through of how to setup your kernel for debugging and included a simple debug driver to target. The post here carries on from this point and explores some stack security paradigms in the kernel.
🌐 Article Link
Telegram Channel : @securebyte
Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
📗 Linux Kernel Exploitation 0x1 - Smashing Stack Overflows in the Kernel
Hi folks this blog post is part of a series in which I'm running through some of the basics when it comes to kernel exploit development for Linux. I've started off the series with a walk through of how to setup your kernel for debugging and included a simple debug driver to target. The post here carries on from this point and explores some stack security paradigms in the kernel.
🌐 Article Link
Telegram Channel : @securebyte
Our Public Group : https://t.me/joinchat/8IAKs9HaoGU2NmE0
_
#Article #Kernel
Cracking Windows Kernel with HEVD
Chapter 0: Where do I start?
Chapter 1: Will this driver ever crash?
Chapter 2: Is there a way to bypass kASLR, SMEP and KVA Shadow?
Chapter 3: Can we rop our way into triggering our shellcode?
Chapter 4: How do we write a shellcode to elevate privileges and gracefully return to userland?
این درایور ویندوز بهطور عمدی با انواع مختلف آسیبپذیریهای مربوط به حافظه (مانند stack overflow, int overflow, use after free, type confusion و چندین مورد دیگر) طراحی شده است.
در این مجموعه به بررسی بعضی از آسیب پذیری ها پرداخته شده است.
🦅 کانال بایت امن | گروه بایت امن
_
Cracking Windows Kernel with HEVD
Chapter 0: Where do I start?
Chapter 1: Will this driver ever crash?
Chapter 2: Is there a way to bypass kASLR, SMEP and KVA Shadow?
Chapter 3: Can we rop our way into triggering our shellcode?
Chapter 4: How do we write a shellcode to elevate privileges and gracefully return to userland?
این درایور ویندوز بهطور عمدی با انواع مختلف آسیبپذیریهای مربوط به حافظه (مانند stack overflow, int overflow, use after free, type confusion و چندین مورد دیگر) طراحی شده است.
در این مجموعه به بررسی بعضی از آسیب پذیری ها پرداخته شده است.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18❤3🔥1
#Article #PE #Kernel
Verifying Embedded PE Signature
➡️ PE files whose digital signatures are not embedded (reside in catalog files)
➡️ Validating timestamp of the signatures
➡️ Validating the key usage
➡️ Validating the chain of the certificates
➡️ Using Windows APIs like WinTrust to verify signatures
➡️ A full tutorial on ASN.1
مقاله ای در رابطه با Verify کردن Signature فایل PE در کرنل. با یک مثال به همراه چند کد پایتون در سطح باینری مباحث فوق رو بررسی میکنیم.
🦅 کانال بایت امن | گروه بایت امن
_
Verifying Embedded PE Signature
مقاله ای در رابطه با Verify کردن Signature فایل PE در کرنل. با یک مثال به همراه چند کد پایتون در سطح باینری مباحث فوق رو بررسی میکنیم.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17🔥4❤1
#Article #Kernel
Finding Bugs in Windows Drivers
Part 1 – WDM
پیدا کردن آسیبپذیریها در درایورهای ویندوز همیشه هدفی بسیار مطلوب برای بازیگران تهدید، نویسندگان Cheat در بازی ها و تیمهای قرمز بوده است. در این سری از مقالات نویسنده به آسیب پذیری های درایور های WDM خواهد پرداخت.
مدل درایور ویندوز (WDM) قدیمیترین و همچنان پرکاربردترین چارچوب برای توسعه درایورها است و با سادهسازی فرآیند توسعه و رفع برخی از مشکلات فنی متعدد WDM، توسعه درایورها را آسانتر میکند.
🦅 کانال بایت امن | گروه بایت امن
_
Finding Bugs in Windows Drivers
Part 1 – WDM
پیدا کردن آسیبپذیریها در درایورهای ویندوز همیشه هدفی بسیار مطلوب برای بازیگران تهدید، نویسندگان Cheat در بازی ها و تیمهای قرمز بوده است. در این سری از مقالات نویسنده به آسیب پذیری های درایور های WDM خواهد پرداخت.
مدل درایور ویندوز (WDM) قدیمیترین و همچنان پرکاربردترین چارچوب برای توسعه درایورها است و با سادهسازی فرآیند توسعه و رفع برخی از مشکلات فنی متعدد WDM، توسعه درایورها را آسانتر میکند.
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13❤5👍5
Forwarded from OS Internals (Abolfazl Kazemi)
سرقت توکن پروسهها در ویندوز به کمک WinDbg
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از توکن در زمانیکه یک نخ تلاشی برای دسترسی به یک شی میکند استفاده میکند که کاربر را تشخیص داده و بررسی کند که آیا کاربر مجوز دسترسی به شی مورد نظر را دارد یا خیر. به عنوان مثال فرض کنید که با notepad قصد باز کردن یک فایل را داشته باشید. در این مثال پروسهی notepad توسط کاربر شما ایجاد شده و در نتیجه توکن آنرا خواهد داشت. شی مورد دسترسی نیز فایلی است که برای آن دسترسی خاصی تعریف شده و باید بررسی شود که آیا توکن مورد نظر مجوز دسترسی به فایل را دارد یا باید جلوی این دسترسی توسط ویندوز گرفته شود.
برخی از اطلاعاتی که توسط توکن مشخص میشوند عبارتند از: شناسه یا SID کاربر. شناسهی گروههایی که کاربر عضوی از آنهاست. شناسهی نشست جاری. لیستی از مجوزهایی که کاربر یا گروههای آن دارند.
یکی از کارهایی که با توکنها قابل انجام بوده و در سرویسها کاربرد زیادی دارد impersonation است. در این مدل، یک نخ با توکن متفاوتی از توکن اصلی خود اجرا شده و در نتیجه مجوزهای متفاوتی خواهد داشت. به عنوان مثال فرض کنید یک File Server دارید که فایلهای آن محدودیتهای دسترسی متفاوتی دارند. در این مثال، سرور با انجام impersonation درخواست هر کلاینت را با توکن همان کلاینت پاسخ داده و در نتیجه هر کاربر تنها به فایلهای خود دسترسی خواهد داشت.
یکی از کارهایی که بدافزارها از آن بهره میبرند همین بحث impersonation و دسترسی به منابع مختلف، مثل dump اطلاعات کاربران، است. در این حالت بدافزار توکن یک پروسه با دسترسی بالا را دزدیده و از آن برای مقاصد خود استفاده میکند.
در این ویدئو به کمک WinDbg مفهوم توکن و شیوهی دزدیدن و قرار دادن آن بر روی پروسهی دلخواهی شرح داده میشود که هم با موضوع توکن آشنا شده و هم به صورت عملی ببینیم که بدافزارها چطور میتوانند از impersonation سواستفاده کنند.
لینک ویدئو در یوتیوب:
https://youtu.be/NTPVeauBDe4
لینک ویدئو در آپارات:
https://www.aparat.com/v/cvyprh5
#ShortWinInternals #windows #internals #token #WinDbg #impersonation #kernel
YouTube
Token Stealing using WinDbg in Local Kernel Debugging [PER]
توکن یا به صورت کاملتر Access Token در ویندوز، یک شی است که شرایط امنیتی که یک پروسه یا نخ تحت آن میتوانند کار کنند را مشخص میکند. توکن با احراز هویت موفق یک کاربر ایجاد شده و هر پروسهای که توسط کاربر ایجاد شود، یک نسخه از آنرا خواهد داشت.
ویندوز از…
ویندوز از…
❤13👍1🔥1
Forwarded from OS Internals (Abolfazl Kazemi)
مروری بر پروسههای کرنلی لینوکس
در لینوکس برخی از پروسهها بخش user space نداشته و کامل در دل کرنل اجرا میشوند. این پروسهها در اجرای کارهای مختلف به سیستمعامل کمک کرده و به صورت background کارهایی که نیاز است انجام شوند که لینوکس بتواند سرویسدهی موارد مختلف را انجام دهد مدیریت میکنند. در این پست و ویدئو برخی از این پروسهها معرفی شده و کاربردهای مختلف آنها شرح داده میشود.
اولین پروسه (نخ) کرنلی لینوکس kthreadd است که وظیفهی ایجاد یک interface برای ایجاد و مدیریت پروسههای کرنلی در لینوکس را داشته و همیشه با PID برابر ۲ اجرا میشود. در کد این نخ یک حلقهی بینهایت وجود دارد که از لیستی به اسم kthread_create_list اطلاعات پروسهی کرنلی که قرار است ایجاد شود را برداشته و آنرا ایجاد میکند. تمامی پروسههای کرنلی لینوکس از اینجا به بعد فرزندان kthreadd خواهند بود.
پروسهی بعدی که معرفی میکنیم migration است. از پروسهی کرنلی migration به تعداد coreهای cpu خواهیم داشت و وظیفهی آن مدیریت پروسههایی است که بر روی یک core اجرا میشوند و در صورت زیاد بودن بار بر روی یک core یک پروسه را از روی run_queue یک core بر داشته و بر روی run_queue یک core دیگر قرار میدهد.
پروسهی دیگری که در ویدئو در مورد آن صحبت شده است kcompactd است که وظیفهی آن جلوگیری از ایجاد fragmentation در حافظه و کمک به کنارهم قرار گرفتن pageهای مرتبط در حافظه است.
یک پروسهی جالب دیگر oom_reaper است که در صورتیکه سیستمعامل با کمبود حافظه مواجه شود دست به کار شده و با kill کردن یک پروسه فضای لازم را برای کار مابقی پروسهها فراهم میکند.
در ویدئو در مورد پروسههای بیشتری صحبت شده است که میتوانید با مشاهدهی آن از این پروسهها اطلاع پیدا کنید.
لینک ویدئو در یوتیوب:
https://youtu.be/PsZ5GZhzvqE
لینک ویدئو در آپارات:
https://aparat.com/v/obt29c7
پ.ن ۱: برای اطلاع از جزئیات پروسههای ابتدایی لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/133
پ.ن ۲: برای اطلاع از جزئیات پروسه و نخ در لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/124
#ShortLinuxInternals #linux #internals #programming #kernel #memory #threads #processes #kernel_threads
در لینوکس برخی از پروسهها بخش user space نداشته و کامل در دل کرنل اجرا میشوند. این پروسهها در اجرای کارهای مختلف به سیستمعامل کمک کرده و به صورت background کارهایی که نیاز است انجام شوند که لینوکس بتواند سرویسدهی موارد مختلف را انجام دهد مدیریت میکنند. در این پست و ویدئو برخی از این پروسهها معرفی شده و کاربردهای مختلف آنها شرح داده میشود.
اولین پروسه (نخ) کرنلی لینوکس kthreadd است که وظیفهی ایجاد یک interface برای ایجاد و مدیریت پروسههای کرنلی در لینوکس را داشته و همیشه با PID برابر ۲ اجرا میشود. در کد این نخ یک حلقهی بینهایت وجود دارد که از لیستی به اسم kthread_create_list اطلاعات پروسهی کرنلی که قرار است ایجاد شود را برداشته و آنرا ایجاد میکند. تمامی پروسههای کرنلی لینوکس از اینجا به بعد فرزندان kthreadd خواهند بود.
پروسهی بعدی که معرفی میکنیم migration است. از پروسهی کرنلی migration به تعداد coreهای cpu خواهیم داشت و وظیفهی آن مدیریت پروسههایی است که بر روی یک core اجرا میشوند و در صورت زیاد بودن بار بر روی یک core یک پروسه را از روی run_queue یک core بر داشته و بر روی run_queue یک core دیگر قرار میدهد.
پروسهی دیگری که در ویدئو در مورد آن صحبت شده است kcompactd است که وظیفهی آن جلوگیری از ایجاد fragmentation در حافظه و کمک به کنارهم قرار گرفتن pageهای مرتبط در حافظه است.
یک پروسهی جالب دیگر oom_reaper است که در صورتیکه سیستمعامل با کمبود حافظه مواجه شود دست به کار شده و با kill کردن یک پروسه فضای لازم را برای کار مابقی پروسهها فراهم میکند.
در ویدئو در مورد پروسههای بیشتری صحبت شده است که میتوانید با مشاهدهی آن از این پروسهها اطلاع پیدا کنید.
لینک ویدئو در یوتیوب:
https://youtu.be/PsZ5GZhzvqE
لینک ویدئو در آپارات:
https://aparat.com/v/obt29c7
پ.ن ۱: برای اطلاع از جزئیات پروسههای ابتدایی لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/133
پ.ن ۲: برای اطلاع از جزئیات پروسه و نخ در لینوکس پست زیر را مشاهده کنید:
https://t.me/OxAA55/124
#ShortLinuxInternals #linux #internals #programming #kernel #memory #threads #processes #kernel_threads
آپارات - سرویس اشتراک ویدیو
Going over Linux Kernel Threads
در لینوکس برخی از پروسهها بخش user space نداشته و کامل در دل کرنل اجرا میشوند. این پروسهها در اجرای کارهای مختلف به سیستمعامل کمک کرده و به صورت background کارهایی که نیاز است انجام شوند که لینوکس بتواند سرویسدهی موارد مختلف را انجام دهد مدیریت میکنند.…
🔥16❤2
#Article #Exploiting #Kernel
⚜️ Introduction to Windows Kernel Exploitation
مجموعه مقالات آموزشی Windows Kernel Exploitation تا این لحظه در ۹ قسمت آماده شده است. در این پستها، نویسنده ابتدا روی Windows 7 (x86) و Windows 10 (x64) تمرکز خواهد داشت و در نهایت به Windows 11 (x64) خواهد رسید.
0x00 - Introduction to Windows Kernel Exploitation
0x01 - Killing Windows Kernel Mitigations
0x02 - Introduction to Windows Kernel Use After Frees (UaFs)
0x03 - Approaching the Modern Windows Kernel Heap
0x04 - Introduction to Windows Kernel Write What Where Vulnerabilities
0x05 - Introduction to Windows Kernel Type Confusion Vulnerabilities
0x06 - Approaching Modern Windows Kernel Type Confusions
0x07 - Introduction to Windows Kernel Race Conditions
0x08 - Race Conditions Moderno Del Windows Kernel
0x09 - Return of the Windows Kernel Stack Overflow
🦅 کانال بایت امن | گروه بایت امن
_
مجموعه مقالات آموزشی Windows Kernel Exploitation تا این لحظه در ۹ قسمت آماده شده است. در این پستها، نویسنده ابتدا روی Windows 7 (x86) و Windows 10 (x64) تمرکز خواهد داشت و در نهایت به Windows 11 (x64) خواهد رسید.
0x00 - Introduction to Windows Kernel Exploitation
0x01 - Killing Windows Kernel Mitigations
0x02 - Introduction to Windows Kernel Use After Frees (UaFs)
0x03 - Approaching the Modern Windows Kernel Heap
0x04 - Introduction to Windows Kernel Write What Where Vulnerabilities
0x05 - Introduction to Windows Kernel Type Confusion Vulnerabilities
0x06 - Approaching Modern Windows Kernel Type Confusions
0x07 - Introduction to Windows Kernel Race Conditions
0x08 - Race Conditions Moderno Del Windows Kernel
0x09 - Return of the Windows Kernel Stack Overflow
_
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥21❤5👍4🤩1