记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

代码分析平台CodeQL学习手记(二)

代码分析平台CodeQL入门(一)在上一篇文章中,我们为读者介绍了CodeQL平台相关的基本概念,并演示了如何编写和运行简单的QL程序。在本文中,我们开始为读者介绍一些简单的数据类型,以便为将来的编程工作打好基础。基本数据类型及其内建函数现在,我们开始学习QL语言中的基本数据类型,包括整型、浮点型、日期型、布尔型以及字符串类型。需要注意的是,对于QL语言来说,其支持的数据类型都带有相应的内建函数——通俗来说,就是系统已经为我们写好的函数,我们直接拿来就能用了。举例来说,如果我们想求一个整数的绝对值,直接调用内建函数abs()即可,例如-6.abs()。更一般地说,调用某种类型的变量的通用形式为:直接在变量后面加上一个点
发布时间:2019-12-24 13:25 | 阅读:8882 | 评论:0 | 标签:技术 CodeQL

剖析洋葱路由Tor网桥与可插拔传输(下篇)

背景这是系列文章中的下篇,在上篇文章中,我详细介绍了Tor浏览器的内置网桥如何通过三个进程(firefox.exe、tor.exe和obfs4proxy.exe)工作的,以及Tor浏览器如何与Obfs4网桥客户端进行通信的,最后还介绍了这三个进程之间的关系。在本文中,我将继续说明Tor如何利用Obfs4网桥来绕过审查。使用Tor时的流量:使用/不使用Obfs4网桥在讨论Obfs4网桥之前,我想首先解释一下启用Obfs4网桥的Tor浏览器与未启用的浏览器之间的区别。为了清楚易懂,我绘制了两个Tor流量图,如下所示。未使用Obfs4网桥的正常Tor流量:这里展示了未使用Obfs4网桥的正常Tor通信流。我们将这一过程简短描
发布时间:2019-12-23 18:25 | 阅读:13976 | 评论:0 | 标签:技术 逆向破解 Tor 洋葱路由

代码分析平台CodeQL学习手记(一)

引言CodeQL是一个代码分析平台,在它的帮助下,安全研究人员可以利用已知的安全漏洞来挖掘类似的漏洞。在本文中,我们首先为读者介绍与代码分析平台CodeQL有关的一些基本概念,同时,还会为实例方式为读者展示了如何编写和运行QL语言编写的简单代码。CodeQL基本概念漏洞挖掘范式我们知道,在挖掘漏洞的时候,最少有两条路可走:对于高手来说,可以硬怼,就像艺术家,可以直接在纸上作画。我们不妨将这种范式称为画葫芦范式。这条路的优点是,有可能挖到0 day,缺点是对研究人员的要求较高,换句话说,就是对新手不太友好。不过,大家也不要灰心,因为还有另一条路可走:照葫芦画瓢。也就是说,我们可以参考已知的漏洞,在我们自己的目标代码中查找
发布时间:2019-12-21 13:25 | 阅读:10393 | 评论:0 | 标签:技术 CodeQL

渗透基础——活动目录信息的获取

0x00 前言在域渗透中,活动目录信息的获取必不可少。本文将要以获取活动目录中所有用户、所有计算机和所有组为例,介绍常用的信息获取方法。0x01 简介本文将要介绍以下内容:· 域外获取活动目录信息的方法· 域内获取活动目录信息的方法· 使用C++调用ADSI接口获取信息的方法0x02 基础知识域环境使用directory database(目录数据库)来存储用户、计算机账户和组等对象。使用LDAP(Lightweight Directory Access Protocol)(轻量目录访问协议)来查询和更新目录数据库。常用缩写词· DN:Distinguished Name· CN
发布时间:2019-12-17 13:25 | 阅读:12818 | 评论:0 | 标签:技术 渗透基础

渗透技巧——使用远程桌面协议建立通道

0x00 前言最近从@cpl3h的博客中学到了使用远程桌面协议建立通道的方法。本文将对这个方法进行整理,结合自己的经验,添加个人理解。学习地址:https://ijustwannared.team/2019/11/07/c2-over-rdp-virtual-channels/0x01 简介本文将要介绍以下内容:· 使用场景· 使用共享文件建立通道· 使用rdp2tcp建立通道· 使用UniversalDVC建立通道· 利用分析· 防御建议0x02 使用场景由于防火墙的设置,只能连接一台Windows服务器的远程桌面,那么如何以这台Windows服务器为跳板进入内网。简
发布时间:2019-12-13 13:25 | 阅读:15583 | 评论:0 | 标签:技术 渗透技巧

小白带你读论文 & LEMNA: Explaining Deep Learning based Security Applications

前言本次带来的是一篇信息安全顶会之一的2018 CCS Best Paper,主要阐述的是作者实现了一种解释深度学习决策原因的方法:LEMNA。这一方法明显弥补了在安全领域解释方法的稀缺和低保真率的问题。背景知识众所周知,深度学习在图片分类上有着比较显著的核心地位,比如:当我们input一张图片给计算机后,计算机可以根据这张图片,输出描述该图像属于某一特定分类的概率的数字(比如:80% 是机器人、15% 是人、5% 是电视机)。而这一目的的实现,目前一般采用的是CNN(卷积神经网络)。但是,如果我们需要将相同的目的,转换至安全领域呢?比如恶意软件的分类:我们input一个文件给计算机,计算机是否可以根据这个文件的信息,
发布时间:2019-12-12 13:25 | 阅读:24177 | 评论:0 | 标签:安全工具 技术 CCS Deep Learning LEMNA exp

Cobalt Strike的blockdlls利用分析

0x00 前言Cobalt Strike 3.14添加了blockdlls功能,限定子进程只能加载带有Microsoft签名的dll。这个功能可以阻止第三方安全软件向子进程注入dll,也就无法对子进程进行hook,最终起到保护子进程的效果。XPN在他的博客中也介绍了相关内容,地址如下:https://blog.xpnsec.com/protecting-your-malware/本文将要扩展blockdlls的利用方法,分别介绍查看进程是否开启blockdlls和修改当前进程开启blockdlls的方法,比较Win8和Win10系统在使用上的区别,开源c代码,分享脚本编写的细节。0x01 简介本文将要介绍以下内容:·&
发布时间:2019-12-11 13:25 | 阅读:14323 | 评论:0 | 标签:技术 Cobalt strike

Reverse RDP攻击:Hyper-V Connection

概览2019年2月,checkpoint研究人员发布了Reverse RDP Attack攻击(https://research.checkpoint.com/reverse-rdp-attack-code-execution-on-rdp-clients/ )的文章,介绍了RDP协议客户端中的多个关键漏洞。研究人员进一步分析发现该攻击还可以针对Hyper-V发起攻击。研究人员在RDP客户端中发现的路径遍历漏洞也适用于Hyper-V管理器的guest-to-host VM逃逸,该漏洞CVE编号为CVE-2019-0887,微软也已发布了针对该漏洞的补丁。Hyper-V研究人员发布该漏洞的相关情况后,有很多用户
发布时间:2019-12-01 13:25 | 阅读:12705 | 评论:0 | 标签:技术 Reverse RDP攻击

Txhollower使用Process Doppelgänging绕过检测

背景研究人员在分析GandCrab勒索软件过程中,发现一个有趣的行为:即在攻击链中使用了Process Hollowing技术。但这并不完全是一种Process Hollowing实现,而是一种包含了Process Doppelgänging的混合变种。研究人员将该加载器命名为TxHollower,因为Transactional NTFS API的缩写就是TxF,而Malwarebytes研究人员将这种特定的实现方式称之为Transacted Hollowing。研究人员通过分析获取的样本发现共有7个不同的版本,有超过20种不同的恶意软件家族在使用它。第一个样本就是几个月前的Osiris。本文将分析加载器的传播过程,以
发布时间:2019-11-29 13:25 | 阅读:14637 | 评论:0 | 标签:技术 Txhollower

持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门

摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。在我们所分析的几个样本中,CASHY200
发布时间:2019-11-29 13:25 | 阅读:14294 | 评论:0 | 标签:技术 DNS Powershell xHunt 后门

渗透技巧——从远程桌面客户端提取明文凭据

0x00 前言在之前的文章《渗透技巧——获得Windows系统的远程桌面连接历史记录》曾介绍了获得远程桌面连接历史记录的方法。在实际的渗透过程中,如果发现了远程桌面连接的历史记录,那么下一步就需要想办法获取远程桌面连接使用的口令。本文将会结合RdpThief介绍从远程桌面客户端提取明文凭据的方法,分享需要注意的细节。RdpThief地址:https://github.com/0x09AL/RdpThief0x01 简介本文将要介绍以下内容:· 获取远程桌面连接口令的思路· 使用Detours库hook系统API的方法· 使用API monitor监控系统API调用的方法· 使用RdpThi
发布时间:2019-11-21 13:25 | 阅读:15224 | 评论:0 | 标签:技术 渗透技巧

Invoke-PowerThIEf利用分析

0x00 前言Invoke-PowerThIEf是一个开源的Powershell脚本,不仅能够用来对IE浏览器窗口的内容进行操作,还能通过Hook的方法捕获IE浏览器的凭据。地址如下:https://github.com/nettitude/Invoke-PowerThIEf本文将要对Invoke-PowerThIEf的功能进行测试,分享在Win7 sp1 x64下的使用方法,结合自己的经验,分析利用思路。0x01 简介本文将要介绍以下内容:· 功能测试· Win7Sp1下的使用方法· 利用分析0x02 功能测试Invoke-PowerThIEf需要的环境配置如下:· IE 11·&nbs
发布时间:2019-11-20 13:25 | 阅读:15084 | 评论:0 | 标签:技术 Invoke-PowerThIEf

使用卷序列号作为加密密钥:APT恶意软件LOWKEY分析

概述在2019年8月,FireEye发布了有关最新发现的威胁组织——APT41的“Double Dragon”报告。APT41是一个与亚洲某国家联系紧密的双重间谍组织,聚焦于财务领域,该恶意组织主要针对游戏、医疗保健、高科技、高等教育、电信和旅游服务等行业。本文主要分析了我们发现的一个复杂、被动型后门,在关于APT41的报告中曾经提到,并且在最近的FireEye Cyber Defense Summit会议上与大家进行了分享。我们观察到,LOWKEY被用于一些针对性非常强的实际攻击之中,并利用仅能在特定系统上运行的Payload。文章中还使用了其他恶意软件家族名称,并进行了简要描述。有关APT41使用的恶意软件的完整概
发布时间:2019-11-13 13:10 | 阅读:20708 | 评论:0 | 标签:恶意软件 技术 加密

如何借助ViewState在ASP.NET中实现反序列化漏洞利用

概述ASP.NET Web应用程序使用ViewState来维护页面状态,并在Web表单中保留数据。ViewState参数是Base64序列化后的餐胡,通常会在POST请求中通过名为“__VIEWSTATE”的隐藏参数发送。在服务器端,将对这个参数进行反序列化,并检索数据。通常可以在Web服务器上运行可以伪造有效ViewState的代码。这一过程可以在禁用MAC验证功能或掌握以下内容的情况下进行:1、.NET Framework 4.5版本之前的验证密钥及其算法;2、.NET Framework 4.5或更高版本中的验证密钥、验证算法、解密密钥和解密算法。为了防止操纵攻击,.NET Framework可以签署并加密已经使
发布时间:2019-11-09 13:10 | 阅读:20858 | 评论:0 | 标签:业务安全 技术 漏洞利用 漏洞

Windows 安全描述符审计方法探究:审查事件日志安全性

在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
发布时间:2019-11-08 13:10 | 阅读:21113 | 评论:0 | 标签:二进制安全 技术 系统安全 windows

新型入侵技术:使用WMI编译的“.bmf”文件和CertUtil进行混淆执行

前言这篇文章主要讲述了一个有趣的入侵尝试,FireEye Managed Defense近期阻止了一项利用近期披露漏洞的快速武器化攻击,在该攻击中,攻击者创造性地使用了WMI编译的“.bmf”文件和CertUtil用于混淆执行。这一次对入侵活动的成功监测,为我们积累了许多安全方面的宝贵经验,主要包括:一些攻击者可以迅速响应,甚至比许多安全团队的响应速度还要快。在确保业务连续性的情况下,对复杂的软件环境开展漏洞修复,也许难以跟上攻击者利用漏洞的步伐,特别是当攻击者将这些漏洞与针对操作系统自身功能而创造的新型混淆方法相结合,并进行快速利用的时候,人们往往会措手不及。持续监测在我们对客户提供持续监测服务的过程中,FireEy
发布时间:2019-11-06 13:10 | 阅读:18111 | 评论:0 | 标签:技术 入侵技术

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云