项庄舞剑意在沛公,而咱们上期主要借助应用服务器 Resin 的源码,体验了一次 JMX 的真实应用。鉴于 9012 年的很多攻城狮从未接触过 Resin 应用服务器,咱们也没有挖的太深,点到为止。
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
一、 前言 VirtualApp(以下称VA)是一个App虚拟化引擎(简称VA)。VirtualApp创建了一个虚拟空间,你可以在虚拟空间内任意的安装、启动和卸载APK,这一切都与外部隔离,如同一个沙盒。运行在VA中的APK无需在Android系统中安装即可运行,也就是我们熟知的多开应用。 VA免安装运行APK的特性使得VA内应用与VA相比具有不同的应用特征,这使得VA可用于免杀。此外,VA对被多开应用有较大权限,可能构成安全风险。 本报告首先简要介绍VA的多开实现原理,之后分析目前在灰色产业的应用,针对在
各种规模巨大、特色鲜明且内容丰富的环境,可选择任何方式自由自在地进行游戏,包含 5 种独特的生态环境和世界,面积达到 100 平方公里。
随着安全防护技术水平的提高以及安全设备对攻击行为检测能力的提升,传统WEB攻击手段越来越难以有效突破防守单位的高强度防守。钓鱼攻击逐渐受到红队的重视。与传统的攻击手段相比,钓鱼攻击成功率高,往往能达到较好的攻击效果。
前两天朋友去面试极光等一些企业遇到了一些问题记录了下来,问我有没有什么想法。问题是关于域管登录过的域内主机,卡巴之类的杀软保护了 lsass 进程,有哪些方法可以读取域管的明文密码。
前言 上周,360发布了海莲花的报告,数据收集,分析,解释,加工方面很能让人折服,但是看了其对所谓OceanLotus Encryptor样本的分析,和我自己观查到的,我觉得有些地方描述的不正确,而且其对病毒攻击流程的分析语焉不详——一个APT攻击报告不能详细说明其攻击流程,其他数据分析的再好我觉得都是没有说服力。 很多地方看似是语法错误导致的,其实是其并没有完全分析清楚攻击流程所导致的,比如 : 另外关于64位强密匙绕过杀软,其实质就是OceanLotus Encryptor 在创建进程时候的用到
提示:当个反面案例看就好,实际上拿下的方式远没有下文说的那么麻烦,只怪自己太心急… 本来是之前BC项目搞下来的一个推广站,当时只拿到了Shell
端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这时代理必然是一个高校的方法。代理分为正向代理和反向代理,正向代理常适用于外网可以直接访问到web服务器的情况下,反向代理适用于服务器可以出网,但是外部无法直接访问服务器的情况,针对大型企业,现在几乎都是CDN,负载均衡等设备,所以个人认为现在反向代理更常见于渗透攻击中。
本篇主要说明一下遇到拒绝服务攻击、DNS劫持、IOC告警以及APT事件的常规处理方式。
文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无任何关联
1 背景 只要插上网线或连上WIFI,无需任何操作,不一会儿电脑就被木马感染了,这可能吗?近期,腾讯反病毒实验室拦截到一个“黑暗幽灵”木马的新变种,该木马功能强大,行为诡异,本文将对其进行详细分析,以下是该木马的主要特点: 1 木马功能强大,主要以信息情报收集为主,能够监控监听大量的聊天软件,收集网络访问记录、监控Gmail、截取屏幕、监控麦克风和摄像头等; 2 木马对抗性强,能够绕过几乎全部的安全软件主动防御,重点对抗国内安全软件,能够调用安全软件自身的接口将木马加入白名单,作者投入了大量的精力逆向研究安
4.Cobaltstrike生成宏病毒代码 一键生成宏代码后,新建一个文档或者用已经有的文档构建。(以word为例)步骤如下: 选择 "视图" -> 宏 -> 查看宏 -> 创建,填入生成的宏代码即可
•通过LSA插件,将LSASS进程句柄复制到其他进程,而不通过OpenProcess来打开LSASS。
服务名:GDScan(G Data扫描器)、AVKWCtl(G Data文件系统实时监控)、AntiVirusKit Client(G Data安全软件客户端)、AVKProxy(G Data杀毒代理)、GDBackupSvc(G Data备份服务) 进程名:GDScan.exe、AVKWCtl.exe、AVKCl.exe、AVKProxy.exe、AVKBackupService.exe、AVK.exe (12) PC-cillin趋势反病毒、趋势科技防毒墙网络版客户端
点击链接,下载本实验项目以及相关工具,提取码:8189 一、实验目的
在运维工作中,为了保证业务的正常运行,对系统进行安全加固,配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞,软件漏洞对服务器远程渗透,从而造成业务中断,更为严重可能会影响整个公司的运营。
简单来说,深度睡眠的进程必须等待资源来了才能醒,在此之前,甚至你给它发任何的信号,它都不可能醒来。
利用SQL注入去getshell有几种常见的方法,一种是跑数据,跑目录找到网站的管理后台,进入到后台想办法通过文件上传的等方法去拿shell;
利用SQL注入去get shell有几种常见的方法,一种是跑数据,跑目录找到网站的管理后台,进入到后台想办法通过文件上传的等方法去拿shell;要么就通过报错,phpinfo界面,404界面等一些方式知道网站绝对路径,然后去写入shell,不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录,目录还挺多。
首先介绍此次渗透的环境:假设我们现在已经渗透了一台服务器PAVMSEF21,该服务器内网IP为10.51.0.21。扫描后发现内网网络结构大概如图所示,其中PAVMSEF21是连接外网和内网的关键节点,内网其他服务器均不能直接连接。
目前安全行业发展红火,感知平台的推出,让内网安全一目了然,网络管理人员可使用感知平台实时了解失陷终端、失陷业务、网络攻击、业务外联情况、业务连接情况等信息,对网络的安全情况更加了解,对网络问题的处理更具有主动性。
github一直是it行业最大的同性交流网站,上面的开源好项目非常之多,不少的渗透好工具都出自github上面的大佬,尤其是免杀的loader,github一直是好免杀的藏宝阁,拿来就能用,拿来就能免,除非被杀软标记很多的项目,大部分免杀效果都很好的。
ProxyShell是Exchange的最新漏洞,CVE编号为CVE-2021-34473(远程代码执行)、CVE-2021-34523(特权提升)、CVE-2021-31207(安全绕过漏洞),有兴趣的师傅可以自行去google、twitter等找找相关文档。
在对目标进行渗透时,一般情况下,我们首先获得对方服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续再对目标服务器进行进一步的权限控制。比如布置后门、跳板、维持权限等;我这就简单的就靶机演示一下内网的渗透。
但是仍然有使用windowsu作为服务器的同学和情况。所以我在此整理了一期如何把django平台从mac上移动到windows上的笔记。
传统的 Gh0st 由控制器和服务器组成,其功能模块多以插件形式下发,包含如下功能:
1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等)
【快讯】 近期,有大量用户在火绒论坛反馈首页遭遇劫持。火绒工程师溯源发现,上述用户均是在某激活工具官网(现已被火绒拦截)下载安装了暴风激活、KMS、小马激活等激活工具导致首页被劫持。进一步分析发现,
Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。
但是但是,大家立马问题来了,为什么 PowerBI 不支持 MAC BOOK 不支持苹果的操作系统,WHY?
其实这个厂商之前就挖过他们家漏洞,提交了不少漏洞给他们,如今都修复了,最近闲来无事,又对他们演示站点进行了一次“深入”研究。
一、什么是IPC 进程间通信(IPC,Inter-Process Communication),指至少两个进程或线程间传送数据或信号的一些技术或方法。进程是计算机系统分配资源的最小单位(严格说来是线程)。每个进程都有自己的一部分独立的系统资源,彼此是隔离的。为了能使不同的进程互相访问资源并进行协调工作,才有了进程间通信。举一个典型的例子,使用进程间通信的两个应用可以被分类为客户端和服务器,客户端进程请求数据,服务端回复客户端的数据请求。有一些应用本身既是服务器又是客户端,这在分布式计算中,时常可以见到。这
原来是某个老哥误点了弹窗的骚扰广告。嘘声一片后,工作继续进行:项目已经进入开发末期,再赶赶工,就可以交付了。
当企业发生入侵事件、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
这里可以看到几个主要的端口,例如80、135、139、445,这里首先就可以想到可以利用的点有ipc、smb
本来还是想用cobalt strike,但是由于某些原因,暂时关闭了cobalt strike的服务器,正好用msf尝试做一次内网渗透熟悉熟悉,注:最初用蚁剑看了一下,此次目标主机没开杀软,所以以下内容不涉及免杀.
本人一直在从事运维方面工作,虽然对安全行业接触较少,但也会偶尔迸出一些新奇的思路,今天在散心时,突然想到了一种比较有趣的免杀思路,于是乎,决定将思路整理出来,供大家实现。
我们有的理由怀疑自己的主机早被感染了恶意程序。大部分人都是采用重打包后的镜像来安装的盗版系统;用的不知从哪儿下回来的工具激活的系统;平常在网上下载的工具奉行的都是能用就行的原则。而我们也都抱着侥幸心理——大家都在用,应该没问题,大不了装了杀软再扫一遍。何况,杀软都没检查出来,这让我们也很无奈啊,还有什么办法呢?带着这样的问题,笔者细细琢磨了下,并依照自己的想法做了一个有趣的实验。
近日,某一客户网站服务器被入侵,导致服务器被植入木马病毒,重做系统也于事无补,目前客户网站处于瘫痪状态,损失较大,通过朋友介绍找到我们SINE安全公司,我们立即成立安全应急处理小组,针对客户服务器被攻击,被黑的情况进行全面的安全检测与防护部署。记录一下我们整个的安全处理过程,教大家该如何防止服务器被攻击,如何解决服务器被入侵的问题。
近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。
文章看点:本文是看雪论坛中的一个系列文章,从用户层到内核层分析了windows的CreateProcess函数执行的详细流程。
在内网渗透的过程中思路才是最重要的,本次内网渗透的主机虽然不多,主要还是锻炼自己内网渗透的一个思想。
运行保存在桌面的payload.ps1,在杀软全程开启的情况下直接上线(易翻车,运气好)
领取专属 10元无门槛券
手把手带您无忧上云