Exploitation for Privilege Escalation
Ver en attack.mitre.org →14 syscalls implementan esta técnica
- NtAllocateUserPhysicalPages
Asigna páginas de memoria física para Address Windowing Extensions (AWE).
- NtAdjustGroupsToken
Habilita o deshabilita grupos (SIDs) en un token de acceso, o restaura los atributos de grupo a su estado por defecto.
- NtImpersonateClientOfPort
LPC heredado: permite a un hilo servidor suplantar el contexto de seguridad del cliente que envió un mensaje de puerto.
- NtSetSystemInformation
Setter genérico del kernel seleccionado por SYSTEM_INFORMATION_CLASS — puerta a SystemDebugControl, carga de drivers GDI y más.
- NtAlpcCreatePort
Crea un puerto de conexión ALPC del lado servidor que los clientes pueden alcanzar con NtAlpcConnectPort.
- NtAlpcConnectPort
Establece una conexión cliente ALPC con un puerto servidor con nombre e intercambia un mensaje inicial.
- NtAlpcSendWaitReceivePort
Envía un mensaje ALPC en un puerto y opcionalmente espera respuesta o el siguiente mensaje entrante.
- NtAlpcImpersonateClientOfPort
Primitiva principal de impersonación de un servidor ALPC — asume el contexto de seguridad del cliente que envió un mensaje.
- NtAlpcOpenSenderProcess
Ayudante del lado servidor que abre un HANDLE al proceso que envió un mensaje ALPC dado.
- NtAlpcOpenSenderThread
Ayudante del lado servidor que abre un HANDLE al hilo que envió un mensaje ALPC dado.
- NtDeviceIoControlFile
Envía un IOCTL a un driver del kernel — entrada en modo usuario para todo abuso de primitivas BYOVD.
- NtLoadDriver
Carga un driver en modo kernel desde una entrada de servicio descrita en el registro — entrada BYOVD.
- NtUnloadDriver
Descarga un driver en modo kernel previamente cargado — la primitiva de limpieza BYOVD.
- NtVdmControl
Punto de entrada de control de NT Virtual DOS Machine — soporte DOS/Windows 16-bit, en desuso en x64.