近日,我们检测到大量经过相同加壳混淆过的.NET 恶意木马文件,经过进一步深入分析发现,该木马是带隐私窃取功能的后门木马 Agent Tesla。从2014年起至今,Agent Tesla已经由一个键盘记录器变身成为一款专业的商业间谍软件。本文主要介绍如何将Agent Tesla 间谍软件抽丝剥茧出来。
通过checkbadchars函数我们可以发现对输入的字符串进行了过滤,使得我们无法直接写入”/bin/sh\x00” 这里可以对binsh进行异或加密输入,在调用xor gadget还原,这里用3异或
前言 Laravel 的加密机制使用 OpenSSL 提供 AES-256 和 AES-128 的加密,本文将详细介绍关于Laravel中encrypt和decrypt的实现,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧。
在对近期样本的分析过程中,研究人员发现这款勒索软件的Payload一直都是在运行时解密的,这也是这款勒索软件最显著的特点,这种加密Payload机制也表明了为何我们难以去定位实际的Payload。
写在前面的话 理解恶意软件的真实代码对恶意软件分析人员来说是非常有优势的,因为这样才能够真正了解恶意软件所要做的事情。但不幸的是,我们并不总是能够得到“真实”的代码,有时恶意软件分析人员可能需要类似反汇编工具或调试器之类的东西才能“推测”出恶意软件的真实行为。不过,当恶意软件使用的是“解释型语言”开发的话,例如Java、JavaScript、VBS或.NET等等,我们就有很多种方法来查看它们真正的原始代码了。 不幸的是,攻击者同样知道这些分析技术,而且为了规避安全分析,他们还会采用很多混淆技术来干扰研究
昨天讲解了JWT的介绍、应用场景、优点及注意事项等,今天来个JWT具体的使用实践吧。 从JWT官网支持的类库来看,jjwt是Java支持的算法中最全的,推荐使用,网址如下。 https://github.com/jwtk/jjwt 下面来看看如何使用jjwt来实现JWT token的生成与解密,主要用到sha512算法来演示。 1、导入jjwt的maven包。 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</
Zscaler 的研究人员发现暗网上正在出售名为 Quantum Builder 的构建工具,该工具可以投递 .NET 远控木马 Agent Tesla。与过去的攻击行动相比,本次攻击转向使用 LNK 文件。
今天给大家介绍的是一款名叫Armor的macOS Payload加密工具,Armor是一个功能强大的Bash脚本,通过它来创建的加密macOS Payload能够绕过反病毒扫描工具。
1.Cobaltstricke生成原生exe,直接点击上线 这里会去访问我们C2服务器的一个地址,如下: 📷 访问C2的地址查看内容,内容看不懂 📷 利用OD,断API——HttpOpenRequestA 📷 为什么要断这个api呢?来看看这个api的功能,官方解释 📷 用于发送一个HTTP服务器的请求,断在这里我们就可以查看我们需要查找的ip。 下面来到这个API 📷 断住之后发现其信息如下: 📷 📷 ip和端口直接可以看到,这个/B6sq 里面的内容应该就是让机器去反向链接这个ip和端口的,继续往下分
JWT可以取代以往的基于 COOKIE/SESSION 的鉴权体系,是目前最热门跨域鉴权的解决方案,接下来从 JWT 的原理,到 PHP 示例代码,简单说明业务怎样使用 JWT 进行授权验证。
编辑:业余草 来源:https://www.xttblog.com/?p=4940 写篇文章不容易,昨天晚上深夜写完忘记保存了。联想一下那个画面,真的是泪目啊! 哎,过去的就让他过去吧,今天我们继续
32位的程序执行完之后要有一个返回地址,可以随便给,64位就不行了,拼接payload 加一个返回地址就OK
本文结合CTF中遇到的题目来说一下session伪造,虽然已经有很多师傅写了,而且写的都特别好,但是还是想自己记录一下,也方便以后复习。ciscn中就有一个session伪造的题,由于之前没有做过就没做出来,还是有点遗憾的。但比较戏剧性的是,上午比赛刚结束,下午刷BUU的时候就遇到了同样的题目。嗐,还是自己太菜,下面就结合BUUCTF中的[HCTF 2018]admin来说一下,文中比较拙劣的地方还请师傅们指正一下。参考文章
近期,火绒威胁情报中心监测到一个名为“企业智能化服务平台” 网页上托管的文件存在恶意行为,火绒安全工程师第一时间提取样本进行分析。分析中发现样本为易语言编写的成熟后门,能根据 C2 指令实现对受害者机器的完全控制。除此之外,它还会检测受害者机器中杀软的安装情况进行对抗,上传受害者系统中相关信息,并设立开机启动项进行持久化驻留等。目前,火绒安全产品可对上述病毒进行拦截查杀,请广大用户及时更新病毒库以提高防御能力。
图片 前言 图片 WP WEB 扭转乾坤 大写一个F即可 图片 得到flag DASCTF{407a13a21a6b85b1236b003479468c82} unusual php phpi
最近几年各种攻防演习比赛越来越多,网络攻击事件越来越频繁,各种加密变形的漏洞利用payload的出现,让蓝队分析难度也越来越高。在最近几年参加的几次蓝队分析工作中,我陆续写了各种各样的小工具,于是就把这些小工具集合起来,形成了这么一个“蓝队分析辅助工具箱”分享给大家使用,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的加密数据包解密问题,netstat -an无ip对应的国家与城市的物理地址问题等,未来会持续更新(文末有此工具的下载地址)。
在我第一次在 DRF(Django REST Framework)中使用 JWT 时,感觉 JWT 非常神奇,它即没有使用 session、cookie,也不使用数据库,仅靠一段加密的字符串,就解决了用户身份验证的烦恼。
本文章仅供学习交流使用,文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包含三个部分
在做样本分析的时候,通常都是针对恶意软件进行分析。这种属于样本分析,是安全分析中的一部分,但也是比较关键的一部分。样本分析是安全分析人员与恶意软件开发/投放人员沟通最直接的桥梁。
Apache Shiro框架的记住密码功能,用户登录后生成加密编码的cookie。服务端对记住密码产生的cookie进行base64解密,再进行AES解密,之后进行反序列化,导致了反序列化漏洞。 服务端过程:cookie-->base64解密-->AES解密-->反序列化
最近碰到一个站,返回的用户信息是jwt生成的值,用jwt.io可以直接解密,刚准备用脚本进行批量遍历的时候,发现总是有报错,所以写这篇文章记录一下
为此,研究人员对该组织所采用的密码管理解决方案(Pleasant Password Server)进行了详细分析,并成功从中发现了一个反射型跨站脚本漏洞,即CVE-2023-27121,而该漏洞将导致存储的密码发生泄漏。
Lazarus Group[1]是一个源于朝鲜政府的威胁组织,由于其发起攻击的性质及其攻击行动中使用的各种攻击手法,现已被指定为高级持续性威胁。Lazarus Group至少从2009年就开始活跃,该组织是2014年11月对Sony Pictures Entertainment的毁灭性雨刮攻击的负责人,这是Novetta开展的名为“Operation Blockbuster”的活动的一部分。Lazarus Group使用的恶意软件与其他报告的活动有关,包括“Operation Flame”、“Operation 1Mission”、“Operation Troy”、“DarkSeoul” 和 “Ten Days of Rain”[2]。在2017年末,Lazarus Group使用磁盘擦除工具KillDisk攻击了中美洲一家在线赌场[3]。2020年中期,卡巴斯基研究团队发现Lazarus正在使用ThreatNeedle恶意软件家族对国防工业发起攻击[4]。
关于 Core impact (就是收购 CS 的那家公司的产品)稍微介绍一下吧,Core impact 简单来说就是一款商业渗透测试工具,它不同于普通的RAT,它更像 MSF,自身带有很多 exp 模块,又和 ExploitPack 有些相似,不过 ExploitPack 自身 RAT 属性不强可以说是单纯的 EXP 集成平台包括漏洞利用,漏洞开发,调试一体
前段时间在这里看到这个工具:哥斯拉Godzilla。团队小伙伴对称感兴趣,特意下载下来分析一下。
Anatsa 是已知的安卓银行木马,针对全球超过 650 个金融机构的应用程序进行窃密,主要受害者都在欧洲。原来主要针对美国和英国的银行应用程序,后续进一步将攻击目标扩大到德国、西班牙、芬兰、韩国与新加坡的银行应用程序。
JWT(JSON Web Tokens)是一种开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于在网络上安全地传输信息。这种信息可以验证和信任,因为它是数字签名的。JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。
原文链接:https://yzddmr6.tk/posts/node-edit-java-class/
当整个世界都在忙于应对 WannaCry恶意软件之时,维基解密发布了CIA Vault 7工具包中新的一批文件,详细披露了针对Winodws平台上的两个恶意软件框架——AfterMidnight以及Assassin。 早在2017年3月7日,维基解密就披露了成千上万个来自CIA的文件及秘密黑客工具,维基解密称之为Vault 7。这被认为是CIA史上最大规模的机密文档泄露。 而本次5月中旬最新的文件披露,已经是Vault 7系列中的第八次文件披露。这次公布的AfterMidnight以及Assassin均属于
时代在发展,大家用后门的姿势也在不断的变化,从菜刀,到蚁剑,再到如今的冰蝎,这也是攻防相互作用的结果,今天头发奇想,如何用python来实现流量的加密。然后就研究了一番,写出来了一些蹩脚的代码还望大佬们不要嫌弃。
它的构成:第一部分我们称它为头部(header),第二部分我们称其为载荷(payload, 类似于飞机上承载的物品),第三部分是签证(signature).
关于ThreadLocal技术这里不做展开。主要就是通过当前线程对象去线程集合中获取到该线程下保存的变量,解决多线程下的数据覆盖问题。
在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。
前一阵子写了这么一款蓝队分析辅助工具箱,没想到下载量还挺大。于是就抽出时间修复了一些bug,还新增了很多功能。“蓝队分析辅助工具箱”就是把我平时写的蓝队小工具集合起来形成的,重点解决蓝队分析工作中的一些痛点,比如说让大家头疼的冰蝎、哥斯拉加密数据包解密问题、netstat -an返回结果中ip无对应的物理地址问题、各种编码/解码问题、内存马解码及Becl反编译问题等,未来会持续更新(文末有此工具的下载地址)。
下面是一个用HS256生成JWT的代码例子的结构 HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret)
这时启动django项目会报错CommandError: You have not set ASGI_APPLICATION, which is needed to run the server.
JSON Web Tokens 由使用 (.) 分开的 3 个部分组成的,这 3 个部分分别是:
协作系统泛微e-cology OA被曝存在数据库配置信息泄露漏洞,如攻击者可直接访问数据库,则可直接获取用户数据,甚至可以直接控制数据库服务器。
AveMaria 是一种最早在 2018 年 12 月出现的窃密木马,攻击者越来越喜欢使用其进行攻击,运营方也一直在持续更新和升级。在过去六个月中,研究人员观察到 AveMaria 的传播手段发生了许多变化。 2022 年 12 月攻击行动 研究人员发现了名为 .Vhd(x)的攻击行动,攻击者使用了虚拟硬盘文件格式进行载荷投递。 针对哈萨克斯坦官员的攻击 攻击链 攻击者冒充俄罗斯政府的名义发送会议通知的钓鱼邮件,带有 .vhdx附件文件。 恶意邮件 执行附件文件后,会创建一个新的驱动器。其中包含恶
概述 DorkBot是一种已知的恶意软件,最早可以追溯到2012年。它被认为通过社会媒体链接、即时消息应用程序或受感染的可移动设备等多种方式进行传播。尽管它是众所周知的恶意软件家族中的一员,但我们相信
近期,研究人员发现了一个新版本的 IcedID GzipLoader,该组件自 2 月初开始分发。此版本引入了新的反分析技术,而它在功能上与以前的版本基本相同。
臭名昭著的恶意软件僵尸网络 Emotet 在 2020 年 10 月底陷入低迷,又在 2020 年 12 月 21 日再次活跃。Emotet 充当恶意软件的桥头堡,在失陷主机上安装其他恶意软件。
对于传统的单点登录系统,使用cookie和session的方式存储用户登录信息,但是对于安全性要求较高的企业–金融企业,就需要对用户的信息进行加密存储,防止客户信息泄露。
JWT,即为JSON Web Token,拆开来看,JSON是JavaScript的一种对象数据存储方式,Token则是令牌,组合在一起就是在Web应用上,使用令牌的JSON数据,乍一看还是有点抽象,
JWT(Json web token),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT提供了一种简单、安全的身份认证方法,特别适合分布式站点单点登录、或者是签名。
JSON Web Token (JWT) 是一个开源标准(RFC 7519),它定义了一种紧凑且自完备的方法用于在各参与方之间以JSON对象传递信息。以该种方式传递的信息已经被数字签名,因而可以被验证并且被信任。JWT既可以使用盐(secret)(HMAC算法)进行签名,也可以使用基于RSA/ECDSA算法的公钥/秘钥对进行签名。
00 引 子 本文我们将通过一个恶意文档的分析来理解漏洞 CVE-2015-1641(MS15-033)的具体利用过程,以此还原它在现实攻击中的应用。就目前来看,虽然该 Office 漏洞早被修复,但由于其受影响版本多且稳定性良好,相关利用在坊间依旧比较常见,因此作为案例来学习还是很不错的。 01 样本信息 分析中用到的样本信息如下: SHA256:8bb066160763ba4a0b65ae86d3cfedff8102e2eacbf4e83812ea76ea5ab61a31 大小:967,267
先祝大家五一节快乐,远海说五天假期要连着学五天。正好前两天暴出蓝凌OA的一个未授权的SSRF漏洞,借着这个SSRF漏洞远海深入研究了一波完成了一个SSRF到RCE的组合利用。那么我们来看看这个组合链是如何构造的。
0x00 前言 最近在github看见一个有趣的项目:Invoke-PSImage,在png文件的像素内插入powershell代码作为payload(不影响原图片的正常浏览),在命令行下仅通过一行powershell代码就能够执行像素内隐藏的payload 这是一种隐写(Steganography)技术的应用,我在之前的文章对png的隐写技术做了一些介绍,可供参考: 《隐写技巧——PNG文件中的LSB隐写》 《隐写技巧——利用PNG文件格式隐藏Payload》 本文将结合自己的一些心得对Invoke-PS
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
