Exploitation for Privilege Escalation
Auf attack.mitre.org ansehen →14 Syscalls implementieren diese Technik
- NtAllocateUserPhysicalPages
Allokiert physische Speicherseiten für Address Windowing Extensions (AWE).
- NtAdjustGroupsToken
Aktiviert oder deaktiviert Gruppen (SIDs) in einem Access-Token oder setzt Gruppen-Attribute auf ihren Default-Zustand zurück.
- NtImpersonateClientOfPort
Veraltetes LPC: ermöglicht einem Server-Thread, den Sicherheitskontext des Clients zu imitieren, der eine Port-Nachricht sendete.
- NtSetSystemInformation
Generischer Kernel-Setter, ausgewählt über SYSTEM_INFORMATION_CLASS — Zugang zu SystemDebugControl, GDI-Treiberladen und mehr.
- NtAlpcCreatePort
Erzeugt einen serverseitigen ALPC-Connection-Port, den Clients per NtAlpcConnectPort erreichen können.
- NtAlpcConnectPort
Stellt eine Client-ALPC-Verbindung zu einem benannten Server-Port her und tauscht eine initiale Nachricht aus.
- NtAlpcSendWaitReceivePort
Sendet eine ALPC-Nachricht auf einem Port und wartet optional auf eine Antwort oder die nächste eingehende Nachricht.
- NtAlpcImpersonateClientOfPort
Primäre Impersonation-Primitive eines ALPC-Servers — übernimmt den Sicherheitskontext des Clients, der eine Nachricht gesendet hat.
- NtAlpcOpenSenderProcess
Server-seitiger Helper, der ein HANDLE auf den Prozess öffnet, der eine bestimmte ALPC-Nachricht gesendet hat.
- NtAlpcOpenSenderThread
Server-seitiger Helper, der ein HANDLE auf den Thread öffnet, der eine bestimmte ALPC-Nachricht gesendet hat.
- NtDeviceIoControlFile
Sendet ein IOCTL an einen Kernel-Treiber — User-Mode-Einstieg für jeden BYOVD-Primitive-Missbrauch.
- NtLoadDriver
Lädt einen Kernel-Mode-Treiber aus einem registry-beschriebenen Service-Eintrag — der BYOVD-Einstieg.
- NtUnloadDriver
Entlädt einen zuvor geladenen Kernel-Mode-Treiber — die BYOVD-Aufräumprimitive.
- NtVdmControl
Steuerungs-Einstiegspunkt der NT Virtual DOS Machine — 16-Bit-DOS/Windows-Unterstützung, auf x64 außer Betrieb.