记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

回归基本: 写给安全外行人的计算机和智能手机安全加固建议

“加固”一词的定义,来源: Techopedia我经常注意到,信息安全专业人士写的文章都是针对那些已经对网络安全原则有高度理解的同行。 如果你正在写一份技术白皮书或者其他一些东西的话,这些都是没有问题的,但是我不认为我们已经做了足够多的工作来教育日常的普通用户关于任何人都可以采取的基本步骤来增强计算机和智能手机的安全性。 在这篇文章中,我将与你们分享一些网络安全最佳实践,这些安全措施可以帮助保护你们的个人信息和计算机设备。 这是一个简短的”回归基本”的指南,将侧重于为任何技能和知识水平的互联网用户提供相关的基本网络安全最佳做法,但对普通用户尤其有用。作为一名前海军陆战队队员,我一直致力于让事情简单化
发布时间:2019-12-13 13:25 | 阅读:28588 | 评论:0 | 标签:安全工具 移动安全 系统安全 安全加固

小白带你读论文 & LEMNA: Explaining Deep Learning based Security Applications

前言本次带来的是一篇信息安全顶会之一的2018 CCS Best Paper,主要阐述的是作者实现了一种解释深度学习决策原因的方法:LEMNA。这一方法明显弥补了在安全领域解释方法的稀缺和低保真率的问题。背景知识众所周知,深度学习在图片分类上有着比较显著的核心地位,比如:当我们input一张图片给计算机后,计算机可以根据这张图片,输出描述该图像属于某一特定分类的概率的数字(比如:80% 是机器人、15% 是人、5% 是电视机)。而这一目的的实现,目前一般采用的是CNN(卷积神经网络)。但是,如果我们需要将相同的目的,转换至安全领域呢?比如恶意软件的分类:我们input一个文件给计算机,计算机是否可以根据这个文件的信息,
发布时间:2019-12-12 13:25 | 阅读:23466 | 评论:0 | 标签:安全工具 技术 CCS Deep Learning LEMNA exp

无 PowerShell.exe 运行 PowerShell 脚本的几种方法

本文将概述在不使用 powershell.exe 的情况下运行 powershell 脚本和命令的最佳工具。在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 PowerShell 脚本或命令行的最佳技术,而不需要运行 PowerShell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。在网上,我花了一些时间尝试和分析适合这个目的的不同工具。 对于每一个工具,我都给出了我个人的评分。 请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。 下面是本文中测试的工具列表:· Power
发布时间:2019-11-28 13:25 | 阅读:12102 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Powershell

一款实用的macOS内核调试工具——LLDBagility

这是Francesco Cagnin有关macOS内核调试的第二篇文章。在上一篇文章中,作者定义了本篇文章中使用的大多数术语,描述了如何为macOS内核实施内核调试,并讨论了可用工具的局限性。本篇文章中,我们就介绍LLDBagility,这是上文中为macOS内核实施内核调试的解决方案,可提供更轻松,更实用的macOS调试体验。在当前情况下,调试macOS内核(XNU)不太实用,尤其是考虑到诸如必须安装调试内核构建以及无法设置监测点或暂停执行的内核调试器的不便之处。为了改善这种情况,作者开发了LLDBagility ,这是一种借助快速调试协议(FDP,在本文后面进行介绍)调试macOS虚拟机的工具。最重要的是,LLDB
发布时间:2019-11-22 13:25 | 阅读:12798 | 评论:0 | 标签:安全工具 LLDBagility

代码分析引擎 CodeQL 初体验

QL是一种查询语言,支持对C++,C#,Java,JavaScript,Python,go等多种语言进行分析,可用于分析代码,查找代码中控制流等信息。之前笔者有简单的研究通过JavaScript语义分析来查找XSS,所以对于这款引擎有浓厚的研究兴趣 。安装1.下载分析程序:https://github.com/github/codeql-cli-binaries/releases/latest/download/codeql.zip分析程序支持主流的操作系统,Windows,Mac,Linux2.下载相关库文件:https://github.com/Semmle/ql库文件是开源的,我们要做的是根据这些库文件来编写QL
发布时间:2019-11-19 18:25 | 阅读:13758 | 评论:0 | 标签:安全工具

开源情报(OSINT)侦察指北

社交媒体上的对话; 图片由Ethority提供于2014年慢点,牛仔! 在我们开始讨论红队已经为人所知的爆炸式的“性感时刻”(笑话,笑声)黑客冒险之前,我们还有一些功课要做。 一个专业的渗透测试人员从来不会在没有事先学习或者对他们的目标做“功课”的情况下开始一项工作。 关键的第一步是在操作范围内收集特定目标的信息,这使攻击者能够发现组织防御系统中可能被利用的潜在漏洞和弱点,无论是物理的、社会工程的、逻辑的还是三者的结合。 信息是一种新的交换商品,互联网上几乎可以免费获得的关于任何主题的大量信息。 那么 OSINT 到底是什么意思呢?开源情报(OSINT)是利用公开的资源来收集信息。从包括互联网在内的各种来源收集有关个人
发布时间:2019-11-19 13:25 | 阅读:18688 | 评论:0 | 标签:内网渗透 安全工具 系统安全

NTLM 中继攻击的几种非主流玩法

在企业组织中的常见的一种安全风险是凭证重用,当攻击者攻击 NT LAN Manager 身份验证协议(以下简称 NTLM 身份验证)时就会出现这样的风险,而这个协议通常会在 微软的 活动目录 中默认启用。NTLM 认证中的不安全性已经被安全研究人员发现超过15年了。该协议可以被滥用,通过一个称为“中继”的过程劫持受害者的会话,该过程通过将受害者的凭证转发到与预期不同的服务来滥用受害者的凭证。在许多情况下,NTLM身份验证仍然受到默认的支持和启用,尽管它已经被更安全的Kerberos取代,成为默认的身份验证方法。在本博文中,我们将演示如何使用NTLMrelayx将凭证中继到LDAP、IMAP和MSSQL,NTLMrela
发布时间:2019-11-17 13:25 | 阅读:16763 | 评论:0 | 标签:内网渗透 安全工具 系统安全

从远程桌面客户端提取明文凭证的工具RdpThief

介绍远程桌面(RDP)是用于管理Windows Server的最广泛使用的工具之一,除了被管理员使用外,也容易成为攻击者的利用目标。登录到RDP会话的凭据通常用于是具有管理权限的,这也使得它们成为红队行动的一个理想目标。站在传统的角度看,许多人倾向于使用LSASS进行凭据盗窃,但是lsass.exe通常受到EDR和防病毒产品的监视,而且对LSASS的操作通常需要权限访问,于是我们自然就会考虑,有没有一种更容易的替代方案?在本文中,我将描述我编写的一个工具,能使用API钩子从Microsoft RDP客户端提取明文凭据,而且如果是在已经受感染用户的权限下操作(比如网络钓鱼导致),并且该用户已打开RDP会话,则可
发布时间:2019-11-15 13:10 | 阅读:13971 | 评论:0 | 标签:安全工具 系统安全 RdpThief

授人予渔:你必须知道的 SYSTEM 令牌窃取攻防技术细节

引言这篇博文将描述访问令牌操作的概念,以及如何针对winlogon使用这种技术。从管理员上下文模拟系统访问令牌。该技术可以在 MITRE ATT&CK 技术框架中的 访问令牌操作 中找到。在通过组策略从本地管理员帐户中取消某些特权的情况下,模拟系统访问令牌非常有用。例如,可以从本地管理员组中删除SeDebugPrivilege,以使攻击者更难转储凭据或与其他进程的内存进行交互。但是,不能从系统帐户撤消特权,因为操作系统需要这些特权才能运行。这使得系统访问令牌对于加固环境中的攻击者非常有价值。在介绍了访问令牌操作的概念之后,我将展示如何使用系统访问控制列表(SACL)来审计进程对象来检测恶意的访问令牌操
发布时间:2019-11-12 13:10 | 阅读:19896 | 评论:0 | 标签:内网渗透 安全工具 系统安全 SYSTEM

Unit42发布powershell自动反混淆工具

概述近日,Unit42安全团队在Github上公开了自己研发的powershell自动反混淆工具,Star数几日之间就突破了300,接下来,就来了解下这款神器的用法及原理。项目地址:https://github.com/pan-unit42/public_tools/tree/master/powershellprofiler使用方法工具用法很简洁,python PowerShellProfiler.py -f <file_name>,若要查看反混淆过程的话可以加上-d参数进行调试,下面使用官方给出的恶意脚本initial_obfusctaed_sample.ps1进行演示,该样本使用了IEX替换、字符串编
发布时间:2019-11-05 13:10 | 阅读:19792 | 评论:0 | 标签:安全工具 反混淆工具

红蓝对抗的项目管理工具——Ghostwriter的幕后花絮

在本系列文章的第一部分中我向大家介绍了 Ghostwriter。并且我详细的介绍了 Ghostwriter 的制作过程、技术栈以及开发过程中的思维过程。 如果你还没有读过第一部分的文章,请点击这里查看。技术栈概述Ghostwriter 是一个使用 Python 编写的 web 应用程序,使用了 Django web 框架。 它是一个 Python 3.7、 HTML、 JavaScript、 CSS、Jinja和 Django 代码的集合,被划分为多个 Django 应用程序。 这个区分有助于保持代码的组织性,并且在定制或开发过程中易于阅读。这个应用程序使用了一个 PostgreSQL 后端,Django 原生就支持这
发布时间:2019-11-04 13:10 | 阅读:12689 | 评论:0 | 标签:内网渗透 安全工具 Ghostwriter

从零开始学威胁狩猎:手把手教你用 Jupyter Notebook 分析安全事件(二)

利用 Apache Spark 查询 Elasticsearch在前一篇文章中,我介绍了使用 DataFrames 以表格格式表示和分析安全事件日志的概念,并向你展示了如何在名为 Pandas 的 python 库的帮助下实现这一点。在本文中,我将向你展示如何直接使用 Elasticsearch 数据库中的安全事件日志,并将它们保存到一个 DataFrame 中,并通过 Apache Spark Python API 和 SparkSQL 模块执行一些查询。要求· 本文假设你已经阅读了前一篇文章,部署了 HELK 服务器,并且理解了通过 Python DataFrames 进行数据处理的基础知识。让我们回顾一下这篇文章
发布时间:2019-10-26 13:10 | 阅读:29946 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Jupyter Notebook

浅谈企业 DevSecOps 实践: 安全测试集成

系列文章(1):浅谈企业 DevSecOps 实践:基本原则系列文章(2):浅谈企业 DevSecOps 实践: 安全测试集成 在本文中,我们将向你展示如何在你的 DevOps 自动化框架中集成安全性。我们将要解决的问题是“我们希望将安全测试集成到开发管道中,并将从静态分析开始。我们该怎么做? ”、“我们理解“左移” ,但这些工具有效吗? ”以及“ 你建议我们从哪些工具开始,以及如何集成这些工具? 。由于 DevOps 鼓励在开发和部署的所有阶段进行测试,我们将讨论构建的管道会是什么样,以及适合不同阶段的工具。安全测试通常与质量保证团队可能已经部署的功能测试和回归测试并列。除了这些典型的在构建之后的测试点之外
发布时间:2019-10-25 13:10 | 阅读:12218 | 评论:0 | 标签:Web安全 安全工具 移动安全 系统安全 DevSecOps

Fragscapy:通过协议Fuzz的方法探测IDS/防火墙检测规则的漏洞

Fragscapy是一个可以测试防火墙保护能力的工具,旨在通过模糊通过防火墙发送的网络消息来检测防火墙和IDS中的漏洞,该开源项目可从Amossys的Github获得。什么是所谓的“ Fragscapy”?我们经常分析防火墙和IDS,测试它们的配置可能很耗时。当然,开发了一些基本工具和脚本来自动化这些测试。Fragscapy旨在对这些工具进行现代化和改进,它用自动化,模块化,可扩展和高级的Python 3项目代替了它们。顾名思义,Fragscapy基于Scapy进行网络数据包处理。简而言之,Fragscapy是一种可以针对防火墙的保护运行连续测试的工具,其背后的原理实际上非常简单。Fragscapy的一般原理Frags
发布时间:2019-10-25 13:10 | 阅读:14503 | 评论:0 | 标签:安全工具 Fragscapy 防火墙 漏洞

浅谈企业 DevSecOps 实践:安全如何与研发协同工作

考虑到 DevOps 对于大多数读者来说是全新的概念,所以在第一篇文章中我们分享了一个关于基本原则的讨论,以及 DevOps 是如何帮助解决软件交付中常见的许多问题的。你可以在上篇文章中找到你想要了解的更详细的背景资料。出于本文的目的,我们将讨论一些与安全团队集成和使用 DevOps 原则进行安全测试直接相关的原则。 这些概念为解决我们在第一部分中提出的问题奠定了基础,在我们讨论 DevOps 环境中的安全工具和方法时,读者需要理解这些概念。DevOps 与安全构建安全性构建安全性,听起来是一个可怕的事实,但是在代码开发过程中广泛使用应用程序安全性技术,相对来说还是较新的事情。 当然,对这个领域的研究已经有几十年的历史
发布时间:2019-10-22 13:10 | 阅读:15703 | 评论:0 | 标签:Web安全 安全工具 系统安全 DevSecOps

反恶意软件扫描接口检测分析方法论: 用于 WMI 的 AMSI 识别与分析

简介及目标AMSI 为终端安全服务提供商提供了一个非常棒的接口,能够让提供商从他们所选择的内容扫描的组件中深入了解内存缓冲区。 微软提供了以下组件列表,这些组件选择使用 AMSI:· 用户帐户控制或 UAC (EXE、 COM、 MSI 或 ActiveX 安装时的权限提升)· Powershell (脚本、交互式使用和动态代码权限提升)· Windows Script Host (wscript.exe and cscript.exe)· JavaScript 和 VBScript· Office VBA 宏作为一名从事侦查工程的防御者和一名对成熟
发布时间:2019-10-18 13:10 | 阅读:20593 | 评论:0 | 标签:二进制安全 安全工具 系统安全 AMSI WMI 扫描

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词