公开(公告)号：CN116974848A

公开(公告)日：2023-10-31

申请号：CN202310779851.X

申请日：2023-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 张臻 ,  胡绍勇 ,  夏玉明 ,  杨晶 ,  李飞阳 ,  刘祖荣 ,  顾顺

IPC: G06F11/30

Abstract: 本发明提供批量内网主机信息收集方法及系统，方法包括：启动预置的批量执行模块，获取不少于2台的远程主机信息，据以确定批量执行参数；利用预置的远程通信模块，根据批量执行参数，从预置WMI库中，获取并注册WMI持久化事件，以提供通信链路，收集并回传远程主机信息，据以获取远程交互式接口SHELL；利用远程交互式接口SHELL，收集内网主机信息。本发明解决了信息收集准确性较低、收集自动化程度低以及信息收集深度不足的技术问题。

公开(公告)号：CN116975845A

公开(公告)日：2023-10-31

申请号：CN202310779849.2

申请日：2023-06-28

Applicant: 上海观安信息技术股份有限公司

Inventor： 张臻 ,  胡绍勇 ,  夏玉明 ,  杨晶 ,  李飞阳 ,  刘祖荣 ,  顾顺

IPC: G06F21/52 ,  G06F21/57

Abstract: 本发明提供基于Windows访问令牌命令执行方法及系统，方法包括：利用预置的进程枚举模块调用预置函数，对待注入进程进行枚举操作，以得到指定进程；获取指定进程的权限及模拟令牌权限，据以通过预置读、写匿名管道，将指定进程注入至模拟令牌，使得模拟令牌权限与指定进程的权限一致；模拟登录用户的用户安全上下文，复制当前的模拟令牌，创建子进程，以利用当前的模拟令牌执行令牌访问命令，对预置读、写匿名管道进行数据读取及关闭操作。本发明解决了漏洞窃取复现手段易被拦截、测试工作量大以及复现指定线程劫持困难的技术问题。