记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一次利用 EMPIRE 和 CLOUDFRONT 的 DOMAIN FRONTING渗透测试记录

Domain fronting是一种新的渗透测试技术,可以混淆HTTP(S)流量的预期目标。这使得攻击者可以通过用“可信”域掩盖预期目的的来规避安全控制。在这篇博文中,我将设置AWS的CloudFront CDN服务来屏蔽到达我的Empire TeamServer的路径。免责声明本博客文章中的信息仅用于教育目的!HoldMyBeerSecurity.com/HoldMyBeer.xyz及其作者对博客帖子,讨论,活动或练习中提供的信息的任何滥用或损坏不承担任何责任。 什么是domain fronting?如Red-Team-Infrastructure-Wiki所述,“简而言之,流量使用受信任的服务提供商的DN
发布时间:2018-07-11 12:20 | 阅读:9115 | 评论:0 | 标签:内网渗透 安全工具 渗透测试

红蓝对抗中的对手弹性方法论介绍(三)

注意:这是两部分博客系列中的第三部分。本系列博客文章介绍了有关执行弹性方法的更具技术性和规范性的策略指导。适当时我将提供相关的上下文。对于完整的上下文,请参阅该系列博文中的第一篇博客文章。或点击阅读《红蓝对抗中的对手弹性方法论介绍(一)》,《红蓝对抗中的对手弹性方法论介绍(二)》介绍和背景在DEFCON 24大会上发布了BloodHound之后,我们几个人意识到虽然BloodHound对攻击者来说是一个很好的工具,但它作为防御工具的潜在应用更加引人注目。在第一篇博文中,我们介绍了如何解锁部分功能的高级策略,我们将其称为Active Directory 攻防对抗方法论。在这篇文章中,我们将展示如何使用Neo4j的Cyph
发布时间:2018-07-06 12:20 | 阅读:22669 | 评论:0 | 标签:内网渗透 安全工具

远程身份验证地理位置分析工具——GeoLogonalyzer

长期以来用户一直需要从各地访问重要资源,例如虚拟专用网络(VPN),Web应用程序和邮件服务器。尽管从任何地方访问资源对于员工来说都是必不可少的,但攻击者经常利用被盗取的凭证来访问系统和数据。对于大量的远程访问连接,很难区分合法登录和恶意登录。今天,我们发布GeoLogonalyzer,帮助企业分析日志,根据地理位置识别恶意登录;例如,在13:00从纽约连接到VPN的用户不太可能在5分钟后合法地从澳大利亚连接到VPN。一旦远程认证活动在整个环境中基准化,分析人员就可以开始识别偏离业务需求和规范化模式的认证活动,例如:1.从两个相距遥远的地点进行认证的用户账户,用户在时间差内无法实际走过该路线。2.用户帐户通常从注册的城
发布时间:2018-05-31 12:20 | 阅读:17155 | 评论:0 | 标签:安全工具 GeoLogonalyzer

通过可见性逆转物联网安全性的7款工具

背景介绍近日,提及物联网威胁,你或许会联想到Mirai僵尸网络的最新变种“Wicked Mirai”。据悉,自Mirai僵尸网络于2016年首次被MalwareMustDie的安全专家发现以来,就被用于为野外的大规模DDoS攻击提供动力。而Mirai的源代码于2016年10月在线泄露,自此,又出现了许多其他变体,包括Satori、Masuta和Okiru。安全专家指出,在最新变种“Wicked”中出现了一些重大的修改,例如增加了将受感染的设备变成恶意软件代理和密码器群的功能。据悉,Wicked Mirai会通过连接到物联网设备的原始套接字SYN连接扫描端口8080,8443,80和81。一旦建立了连接,bot就会尝试利
发布时间:2018-05-23 12:20 | 阅读:23439 | 评论:0 | 标签:安全工具 物联网安全

云环境下的隐藏管理员威胁:需要重点注意的10个权限

全世界的组织都在向云端迁移,而这种迁移正在造成影子管理员的威胁。on-premises影子管理员帐户具有敏感特权,通常被忽略,因为它们不是特权活动目录(AD)组的成员。相反,它们通过直接分配权限(在AD对象上使用ACL)获得特权。虽然流氓管理员和恶意行为者采用的在on-premises网络上升级特权的隐秘技术已经被清楚的记录下来,但是仍然存在一些关于云环境的不确定性。在RSA会议上,CyberArk实验室公布了关于云环境下影子管理员造成的威胁的一项新的研究。这次会议进行的很顺利,并被ThreatPost报道了。本文将讲述我们的一些发现以及开发的工具,这些工具是帮助检测和减轻云端影子管理员日益增长的威胁。我们研究了10种
发布时间:2018-05-03 12:20 | 阅读:37293 | 评论:0 | 标签:安全工具 云安全

使用RunDotNetDll32执行.NET方法

在DerbyCon 2017大会上,我发布了一个名为WheresMyImplant的迷你红队工具包,并且该工具包采用的是.Net DLL形式。从那时起,该工具包一直处于开发过程中,陆续提供了许多有趣的功能。有段时间,我曾经寻找过一种能够从现有的DLL中快速执行.NET方法的手段。但是,据我所知,除了使用PowerShell或.net 的SmokeTest方法之外,还没有发现其他好工具,所以,我就为此创建了RunDotNetDll32。在这篇文章中,我将为读者介绍RunDotNetDll32的功能和一些常见用法的示例。RunDotNetDll32简介下面的示例命令为读者演示了如何使用PowerShell加载.NET DL
发布时间:2018-04-28 12:20 | 阅读:51098 | 评论:0 | 标签:技术 安全工具

一个可以动态分析恶意软件的工具——Kernel Shellcode Loader

虽然许多恶意样本都可以进行静态分析,但FLARE团队有时候会调试这些样本来确认特定的功能。调试是一种非常有效的方式来解决混淆和封装,快速识别kernel shellcode样本被访问的结构,系统路径和进程。一般来说,我们都是用虚拟机这样的安全环境来分析恶意软件,很少用kernel shellcode loader这样的工具来分析。下面我们对kernel shellcode loader工具进行简单分析。背景在基于shellcode样本冲突的分析方法中,分析人员可能并不知道样本要攻击用户空间还是内核空间。一种常见的方法是在shellcode加载器中加载样本代码,然后在用户空间中调试。在kernel shellcode中,
发布时间:2018-04-27 12:20 | 阅读:42734 | 评论:0 | 标签:安全工具 技术

恶意软件监控之利用PyREBox进行恶意软件分析

在2017年7月,思科Talos团队发布了PyREBox,一个用Python脚本编写的逆向分析沙箱的开源工具。其实,这个工具一开始只是Talos 为改进恶意软件监控流程而进行优化项目的其中一个小的部分,PyREBox是一种基于QEMU的通用工具框架。PyREBox允许分析人员在虚拟环境中运行整个操作系统(模拟器),并在运行时检查和修改其内存和寄存器。对QEMU进行略微修改后,PyREBox就允许用户对某些恶意行为进行测试,例如指令执行或内存读写。在此基础上,PyREBox利用虚拟机内省技术来消除语义鸿沟,即理解操作系统的抽象概念,如进程、线程或库。你可以在该篇博文中找到该框架及其功能的更详细的原始描述。在过去的几个月里
发布时间:2018-04-19 12:20 | 阅读:36777 | 评论:0 | 标签:安全工具 web安全

DiskShadow使用大全,基于IOCs的防御

一、简介不久前,我发表了一篇关于Vshadow的文章:Vshadow: Abusing the Volume Shadow Service for Evasion, Persistence, and Active Directory Database Extraction。该工具非常有趣,因为它是执行卷影复制操作的一个实用工具,还支持一些其他攻击功能。坦率地说,隐蔽和持久可能不是Vshadow.exe的强项,但其中的一些技巧与其替代产品DiskShadow.exe有着更多的相关性。本文将讨论DiskShadow,展示相关特征和能力,提出基于IOCs的防御。二、何为DiskShadowDiskShadow.exe是一个由
发布时间:2018-04-06 12:20 | 阅读:44837 | 评论:0 | 标签:安全工具 技术 IOCs防御

Cobalt strike3.8 中文支持

0x00 简介cobaltstrike3.10 已经出来很久了,其中最吸引人的可能就是他已经支持中文了,但是貌似很久以来都没在网上看到3.10的资源,所以就没办法,拿手上的3.8 改改将就用。0x01 反编译首先我们要对cobaltstrike3.8进行反编译,这里可以参照之前破解的方法,戳我,使用jad进行反编译。0x02 修改代码要怎么定位到要改哪里呢? 我们可以看一下CS的输出:可以看到在输出之前有received output,所以我们就可以检索这个关键字,马上可以定位到BeaconC2.class文件,搜索“received output”一共有5个结果:查看代码如下:可以看到,输出的结果是由CommonUt
发布时间:2018-03-31 12:20 | 阅读:65067 | 评论:0 | 标签:安全工具 技术 Cobalt strike

在线破解SNMP密码的多种方法

在本文中,我们利用多种方法,攻击SNMP服务。Hydrahydra是经常选择的使用工具。它可以对超过50种协议执行快速字典攻击,包括telnet,ftp,http,https,smb,多个数据库等等。运行以下命令hydra -P /root/Desktop/pass.txt 192.168.1.125 snmp-P:表示密码列表的路径一旦命令执行完毕,它就会开始应用字典攻击,所以你很快就会拥有正确的用户名和密码。正如你所看到的,我们已经成功地将SNMP密码作为ignite123来获取。xHydraxHydra是Hydra的图形化版本在你的kali中打开xHydra。并选择单个目标
发布时间:2018-03-25 17:20 | 阅读:63070 | 评论:0 | 标签:安全工具 技术 snmp 工具

VeraCrypt:强大的安全加密工具

作者:{Zebork}@ArkTeam VeraCrypt是一款开源的加密软件,可以创建以文件形式存储的虚拟加密磁盘分区,也可以针对真实的磁盘分区进行加密。 一、工具下载 官网地址:https://www.veracrypt.fr/en/Home.html VeraCrypt适用于Windows、Mac OS X、Linux等主流平台,可以针对不同的文件系统,创建或映射虚拟的加密卷。 二、加密卷创建 图1 两种加密卷方案 如图1所示,加密卷有两种方案,一种是使用文件创建虚拟的加密卷,第二种是使用真实的磁盘分区来创建加密卷,例如非系统所在分区,或者U盘等等。第一种方案使用文件创建虚拟卷,更适合新手,也具有更好的灵活性。本文只针对第一种方案进行介绍。 图2 标准加密卷或隐藏加密卷的创建 如
发布时间:2018-03-16 18:15 | 阅读:81408 | 评论:0 | 标签:ArkDemy 安全工具 加密

Volume Shadow 服务在渗透测试中的几种利用姿势

什么是Vshadow?Vshadow( vshadow.exe )是用于管理卷影副本的命令行实用程序。此工具包含在Windows SDK中 ,并由微软签名(稍后会详细介绍)。Vshadow具有许多功能,包括执行脚本和调用支持卷影子快照管理的命令的功能。毫不奇怪,这些功能可能会被滥用于特权级的防御规避,权限持久性和文件提取。在这篇博文中,我们将讨论Vshadow命令执行,自动启动持久性以及使用Vshadow提取敏感文件副本并提取Active Directory(AD)数据库来进行离线HASH转储和密码破解。命令执行使用Vshadow执行命令取决于与影子复制操作的“成功”交互(例如,创建快照,
发布时间:2018-03-07 12:20 | 阅读:65542 | 评论:0 | 标签:内网渗透 安全工具

OpticSpy:用于解码光学隐蔽信道传输的数据的工具

Blinkenlights很酷,但是发送人眼无法察觉的秘密信息的blinkenlights可能会更酷。OpticSpy是用于探索和试验数据传输的开源硬件模块。它能够捕获,放大并将光信号转换为数字形式,可以使用计算机进行分析或解码。利用OpticSpy,电子爱好者和硬件黑客可以搜索现代设备上存在的隐藏通道,为项目添加光学数据传输功能,或者捕获和解码来自遥控器和其他消费电子设备的信号,通过光波有意发送信息。OpticSpy的设计基于Maxim Integrated的AN1117,这种小型光电二极管接收器能够将光纤数据速率处理为800kbps。我们添加了用于微调特定目标信号的电位计,可轻松连接至主机的板载USB至串行接口,状
发布时间:2018-03-06 17:20 | 阅读:48732 | 评论:0 | 标签:安全工具

Windows 10 RS3中的EMET ASR功能优劣分析

介绍使用EMET 5中的攻击面减少(ASR)功能的人可能会很喜欢这个功能,因为它能够轻易的阻止在指定的进程中加载特定的DLL。例如,作为针对Casey Smith的regsvr32.exe脚本攻击的缓解措施,NSA IAD发布了一个很好的EMET ASR规则集,来阻止在regsvr32.exe上下文中加载scrobj.dll。从Windows 10 1709开始,EMET 不再受支持,因为它已被Windows Defender Exploit Guard(WDEG)所取代。WDEG也有自己的功能,称为攻击面减少,这个功能是阻止Office套件产品创建可疑的子进程的好方法,但它不允许你指定自定义的阻止规则,而且
发布时间:2018-03-05 12:20 | 阅读:62416 | 评论:0 | 标签:二进制安全 系统安全 安全工具

Windows Defender应用程序控制介绍

鉴于当今的威胁环境,应用程序控制是保护企业的重要防线,并且它具有超越传统防病毒解决方案的固有优势。具体而言,应用程序控制将所有应用程序默认为可信的模型翻转为应用程序必须获得信任才能运行的模型。澳大利亚信号局等许多组织都理解这一点,并经常将应用程序控制作为解决基于可执行文件的恶意软件(.exe,.dll等)威胁的最有效方法之一。虽然大多数客户固有地理解应用程序控制的价值,但事实是很少有客户能够以可管理的方式使用应用程序控制解决方案。因此,应用控制解决方案的采用率很低。事实上,我们估计只有约20%的客户使用任何类型的应用控制技术; 在许多情况下,这些客户仅在部分设备上使用它,因为创建和维护全面的允许/拒绝列表非常困难。对于
发布时间:2018-03-04 12:20 | 阅读:48037 | 评论:0 | 标签:安全工具 Windows Defender

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云