Exploitation for Privilege Escalation
Voir sur attack.mitre.org →14 syscalls implémentent cette technique
- NtAllocateUserPhysicalPages
Alloue des pages de mémoire physique pour Address Windowing Extensions (AWE).
- NtAdjustGroupsToken
Active ou désactive des groupes (SIDs) dans un token d'accès, ou réinitialise les attributs aux valeurs par défaut.
- NtImpersonateClientOfPort
LPC hérité : permet à un thread serveur d'usurper le contexte de sécurité du client ayant envoyé un message de port.
- NtSetSystemInformation
Setter noyau générique sélectionné par SYSTEM_INFORMATION_CLASS — porte d'entrée pour SystemDebugControl, chargement de pilotes GDI, etc.
- NtAlpcCreatePort
Crée un port de connexion ALPC côté serveur que les clients peuvent atteindre via NtAlpcConnectPort.
- NtAlpcConnectPort
Établit une connexion client ALPC vers un port serveur nommé et échange un message initial.
- NtAlpcSendWaitReceivePort
Envoie un message ALPC sur un port et attend optionnellement une réponse ou le prochain message entrant.
- NtAlpcImpersonateClientOfPort
Primitive d'impersonation principale d'un serveur ALPC — endosse le contexte de sécurité du client ayant envoyé un message.
- NtAlpcOpenSenderProcess
Helper côté serveur qui ouvre un HANDLE vers le processus ayant envoyé un message ALPC donné.
- NtAlpcOpenSenderThread
Helper côté serveur qui ouvre un HANDLE vers le thread ayant envoyé un message ALPC donné.
- NtDeviceIoControlFile
Envoie un IOCTL à un driver noyau — porte d'entrée user-mode de tout abus de primitive BYOVD.
- NtLoadDriver
Charge un driver mode noyau depuis une entrée de service décrite dans le registre — porte d'entrée BYOVD.
- NtUnloadDriver
Décharge un driver mode noyau précédemment chargé — la primitive de nettoyage BYOVD.
- NtVdmControl
Point d'entrée de contrôle NT Virtual DOS Machine — support DOS/Windows 16 bits, hors d'usage en x64.