Всем привет!

Все больше эксплойтов начинают злоупотреблять не страшной бинарной эксплуатацией, а особенностями поведения ПО на конечном устройстве. Например, в 2025 году был тренд на исследование COM, RPC и отдельно - Kerberos. Большинство интересного функционала можно определить путем анализа соответствующих объектов в системе. В этом посте хочу представить несколько крутых тулз, которые могут помочь в обнаружении чего-нибудь эдакого потенциально уязвимого : )

Начнем с самого простого — Named Pipes. Это базовая единица межпроцессорного взаимодействия. Здесь нам интересно анализировать несколько вещей: передаваемые данные , возможность победы в Race Condition, чтобы клиенты цеплялись к нашему пайпу, имперсонация. Для анализа пайпов удобно пользоваться PipeViewer , IO Ninja или свеженьким pipetap.

Для анализа Shared Memory можно взять инструмент SharedMemutils , он позволяет дампить содержимое памяти, изучать файлы, которые лежат там.

Если следовать трендам, то погружаться в подсистему COM удобнее всего с OleViewDotnet , впрочем еще есть DCOMRade , OleObjViewer.

Отдельно отмечу недавно обнаруженную WMIE. С его помощью можно исследовать подсистему WMI, которая , как и СОМ, окутана завесом тайн : )

Для исследования ALPC красивого GUI нет, но можно взять NtObjectManager и воспользоваться командлетом Get-AccessibleAlpcPort и WinDbg.

Остается лишь большой RPC, инструментов здесь очень много! Наиболее удобный, по моему мнению, RpcInvestigator с его возможностью по автоматической генерации клиентского кода. Впрочем, если вы хотите достигнуть большей автоматизации, то я подсвечивал некоторые командлеты в статье.

Хороших праздников!