记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Shellcode生成工具Donut测试分析

0x00 前言Donut是一个shellcode生成工具,可以将.NET程序集转换为shellcode。这是对execute-assembly的进一步利用,隐蔽性更高,可扩展性更强。结合byt3bl33d3r的SILENTTRINITY,将其转换为shellcode并进行注入,适用性更广。本文将会对Donut进行测试,逐个分析Donut工程中的代码,总结这个工具的特点。注:本文测试的版本使用的是Donut v0.9,新版本将会添加更多的功能,值得持续关注Donut地址:https://github.com/TheWover/donut介绍Donut细节的文章:https://thewover.github.io/Int
发布时间:2019-07-14 12:25 | 阅读:12083 | 评论:0 | 标签:安全工具 技术 Donut

从内存加载.NET程序集(execute-assembly)的利用分析

0x00 前言Cobalt Strike 3.11中,加入了一个名为"execute-assembly"的命令,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽,而且现有的Powershell利用脚本能够很容易的转换为C#代码,十分方便。本文将会对"execute-assembly"的原理进行介绍,结合多个开源代码,介绍实现方法,分析利用思路,最后给出防御建议。0x01 简介本文将要介绍以下内容:· 基础知识· 正常的实现方法· 开源利用代码分析· 利用思路· 防御建议0x02 基础知识1.CLR全称Common La
发布时间:2019-07-11 12:25 | 阅读:13640 | 评论:0 | 标签:技术 execute-assembly

Mimikatz中SSP的使用

Mimikatz中SSP的使用Mimikatz中的mimilib(ssp)和misc::memssp同sekurlsa::wdigest的功能相同,都能够从lsass进程中提取凭据,通常可获得已登录用户的明文口令(Windows Server 2008 R2及更高版本的系统默认无法获得),但实现原理不同,所以绕过高版本限制的方法也不同。我对XPN的第二篇文章进行了学习,对这个技术有了新的认识,于是尝试对这个技术进行总结,添加一些个人的理解。XPN的博客:https://blog.xpnsec.com/exploring-mimikatz-part-2/0x01 简介本文将要介绍以下内容:· SSP简介·&nb
发布时间:2019-06-28 12:25 | 阅读:26370 | 评论:0 | 标签:技术 Mimikatz

Mimikatz中sekurlsa::wdigest的实现

0x00 前言Mimikatz中sekurlsa::wdigest是渗透测试中经常会用到的功能,它能够从lsass进程中提取凭据,通常可获得已登录用户的明文口令(Windows Server 2008 R2及更高版本的系统默认无法获得,需要修改注册表等待用户再次登录才能获得)。XPN在他的博客中记录了对WDigest的研究心得,开源了一个POC,通过C++实现了在Win10_1809 x64下从lsass进程中提取凭据。本文将会对XPN的POC进行扩展,使其支持Win7/Win8/Windows Server2008/Windows Server2008 R2/Windows Server2012/Windows Se
发布时间:2019-06-26 12:25 | 阅读:19286 | 评论:0 | 标签:技术 Mimikatz

所见非所得: 浅析同形异义词攻击及案例分析

引言自从 ICANN 二十多年前在域名(称为国际化域名或简称 IDN)中引入Unicode 以来,一系列全新的安全问题也随之浮出水面,同时还可能使用不同的字母和Unicode 字符注册域名。在研究基于同形异义词和 IDN的网络钓鱼和其他攻击的可行性时,主要是在 web 应用渗透测试的背景下,我们偶然发现了一些奇怪的案例,它们也影响了移动应用程序。然后我们决定针对移动即时通讯工具展开调查,特别是那些面向安全的,调查这类漏洞的流行程度。这篇博客文章提供了关于同形异义攻击的简要概述,强调了它的风险,并介绍了针对 Signal,Telegram 和 Tor Browser 的两种实际利用方式。这两种方式可能导致几乎不可能被检测
发布时间:2019-06-21 12:25 | 阅读:30319 | 评论:0 | 标签:Web安全 技术 浅析同形异议词

一次基于GAO报告的暗网追踪比特币枪支销售的OSINT调查

介绍去年11月,GAO (美国美国政府责任署管理局)和 ATF (美国烟酒枪支及爆炸物管理局)发布了关于互联网枪支销售的报告。 调查包括试图在 Surface Web 和 Dark Web 上购买武器的报道。 7次尝试中的2次都成功了。 基于不同的 OSINT 技术,我试图找到哪些市场代理商购买了枪支,如果可能的话我会继续跟踪交易。 剧透警告——我认为这是不可能的。图片由Jens Lelie 发布于 Unsplash我真的很鼓励你阅读整个报告,我在阅读中学到了很多有趣的东西。https://www.gao.gov/assets/690/688535.pdfhttps://www.gao.gov/product
发布时间:2019-06-19 12:25 | 阅读:30954 | 评论:0 | 标签:加密货币 技术 GAO OSINT 比特币

Use COM Object hijacking to maintain persistence——Hijack Outlook

0x00 前言APT组织Trula使用的一个后门利用方法,通过COM劫持实现在Outlook启动时加载dll,特点是只需要当前用户的权限即可实现。本文将参考公开的资料对这个方法进行测试,编写一个自动化利用脚本,扩展用法,分享多个可用的劫持位置,结合利用思路给出防御建议。参考资料:https://www.welivesecurity.com/wp-content/uploads/2018/08/Eset-Turla-Outlook-Backdoor.pdf0x01 简介本文将要介绍以下内容:· 利用方法· Powershell脚本实现细节· 扩展用法· 防御建议0x02 利用方法Outloo
发布时间:2019-06-12 12:25 | 阅读:22793 | 评论:0 | 标签:技术

CVE-2019-0708漏洞影响面分析及采用多种规则的检测方法

概述近期,随着CVE-2019-0708漏洞的公布,大多数安全社区都将该漏洞作为最优先处理的漏洞之一。提到漏洞修复,很难不联想到此前WannaCry和NotPetya产生的灾难性后果。并且根据之前的经验,我们非常清楚,用户往往不会立即修复漏洞,而是需要比较漫长的一段时间。因此,针对这一高危漏洞,我们有必要迅速制定该漏洞的检测规则。关于CVE-2019-0708漏洞,有一个比较关键但非常重要的细节,该漏洞与远程桌面服务(Remote Desktop Services)有关,也就是在Windows上由Microsoft实现的远程桌面协议(RDP)。RDP协议本身是没有问题的,我必须要提到这一点,以避免再发生像WannaCr
发布时间:2019-05-24 12:25 | 阅读:48632 | 评论:0 | 标签:技术 漏洞

SILENTTRINITY利用分析

0x00 前言SILENTTRINITY是由byt3bl33d3r开源的一款C2工具,通过C#实现,利用IronPython引擎来执行Python代码,十分值得研究。这款工具通过Python实现payload,不仅提高了效率,而且利用IronPython引擎从内存加载payload,更为隐蔽。本文将要站在技术研究的角度,分析SILENTTRINITY的原理并进行扩展,最后给出防御检测的建议。地址:https://github.com/byt3bl33d3r/SILENTTRINITY0x01 简介本文将要介绍以下内容:· SILENTTRINITY的简单使用· SILENTTRINITY的实现细节·
发布时间:2019-05-23 12:25 | 阅读:31403 | 评论:0 | 标签:技术 SILENTTRINITY

揭开病毒的面纱——恶意代码自解密技术

分析病毒的时候,常常遇到一种很奇怪的现象,使用查壳工具查看一个样本明明没有加壳,但是反编译或调试时,却不能直观地看到样本的恶意操作,这是为什么呢?很简单,这是因为攻击者采用了自定义的加密方法,在样本运行时实现自解密并执行真正的恶意操作,所以看到的只是样本还没解密的样子,自然分析不出恶意代码的逻辑。下面就通过实例来窥探下恶意代码自解密的技术吧,如下是一个Ammyy病毒的下载器(MD5:28EAE907EA38B050CBDCC82BB623C00A),使用DIE查壳发现,该样本并没有加任何的壳。然而当查找字符串时,却未能发现一些可疑的字符串(如下载器常有的恶意url),看到的只是一堆乱码,看来,该样本很有可能就是使用了自
发布时间:2019-05-21 12:25 | 阅读:24925 | 评论:0 | 标签:技术 恶意代码

域渗透——普通用户权限获得DNS记录

0x00 前言在之前的文章《域渗透——DNS记录的获取》介绍了域渗透中获得DNS管理员权限后获取DNS记录的方法,而更普遍的情况是只有域普通用户的权限,也需要获得DNS记录。本文将会参考公开的资料,整理域普通用户获得DNS记录的方法,修复dns-dump.ps1在高版本Windows系统下的bug。0x01 简介本文将要介绍以下内容:· 实现原理· 开源的工具和方法0x02 实现原理1.SharpAdidnsdump的实现原理先通过LDAP查询获得域内计算机的名称,再通过DNS查询获得对应的IP。详细实现细节可参考:https://github.com/b4rtik/SharpAdidnsdump测试环境:&
发布时间:2019-05-20 12:25 | 阅读:31664 | 评论:0 | 标签:技术 DNS

绕过杀软:通过网络接收ShellCode的无文件攻击方式与检测方法

一、概述反病毒方案通常用于检测恶意软件,并且通常要依靠静态分析来区分文件的好坏。如果文件自身就包含恶意内容,那么这种方法会有效。但如果攻击者使用轻量级的Stager来代替下载,并将代码加载到内存中,那么会发生什么呢?事实证明,这是绕过反病毒软件的一种好方法。尽管这种方法并不新鲜,但绕过反病毒软件对于大多数现代恶意软件来说都很常见,我们希望提供一些有关如何构建此类Payload时应该采取步骤的思路,并说明防御者如何使用常见的EDR工具来大规模检测此类活动。在本文中,我们将使用VirusTotal作为检测的标准,并使用Metasploit反向TCP ShellCode作为Payload。这提供了一种粗略的方法,可以衡量出P
发布时间:2019-05-19 12:25 | 阅读:35266 | 评论:0 | 标签:技术 shellcode

借助ProcessHollowing和代码注入感染合法进程:信息窃取恶意软件FormBook分析

概述FormBook是一个信息窃取类型的恶意软件。与大多数其他信息窃取类恶意软件一样,它在部署到受害者的计算机上时,会执行许多操作来逃避反病毒厂商产品的检测。当然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有许多变种可以通过多种方式接收Payload。在过去的一年中,威胁行为者最常用的分发FormBook恶意软件的方法是借助恶意钓鱼邮件并利用CVE-2017-8570漏洞。具体而言,攻击者会使用包含恶意代码的.RTF格式文件来利用这一漏洞。在本文中,我将重点关注恶意Payload,并详细分析该恶意软件的行为和IoC。FormBook使用的反分析技术首先,我们先从FormBook如何阻
发布时间:2019-05-16 12:25 | 阅读:38818 | 评论:0 | 标签:技术 FormBook 注入

《Lateral Movement — SCM and DLL Hijacking Primer》的利用扩展

0x00 前言《Lateral Movement — SCM and DLL Hijacking Primer》介绍了三个dll(wlbsctrl.dll、TSMSISrv.dll和TSVIPSrv.dll)可以通过SCM(Service Control Manager)实现远程执行。本文将要扩展这三个dll的用法,分别介绍提权和后门利用的方法。0x01 简介本文将要介绍以下内容:· 利用wlbsctrl.dll实现的提权· 利用TSMSISrv.dll和TSVIPSrv.dll实现的后门· 利用MF.dll实现的后门0x03 wlbsctrl.dll的利用1、原文中的用法IKEEXT(IKE an
发布时间:2019-05-15 12:25 | 阅读:33662 | 评论:0 | 标签:技术

实例讲解未知游戏文件格式的逆向分析方法(上)

前言当人们对未知文件格式进行逆向分析时,通常倾向于使用现成的提取器,但是,有时对于所讨论的格式并没有公共信息可用(例如,当开发公司使用自己特殊的格式来保护文件时),并且,文件格式可能存在巨大的差异,这时,我们就不得不自己动手进行逆向分析了。而本教程的目的,就是向读者展示逆向分析未知格式文件的基本步骤。先决条件为了顺利完成本文的任务,需要读者了解下列语言:· C++语言· x86汇编语言(Intel语法)对于本文涉及内容,我会尽力给出通俗的解释,但是,读者最好对上述语言有所了解。所需工具本文中将用到以下工具:· HexEdit(或其他十六进制编辑器)· OllyDBG(需要用到Stealth
发布时间:2019-05-05 12:25 | 阅读:39304 | 评论:0 | 标签:技术 逆向分析

红蓝对抗基础设施架构设计Wiki(下)

(接上文)有效载荷和Web重定向在提供有效载荷和Web资源时,我们希望最小化事件响应者查看文件的能力,并增加成功执行有效载荷的机会,无论是建立C2还是收集情报。Jeff Dimmock写的关于 Apache Mod_Rewrite的用法和示例:· 使用 Apache mod_rewrite 模块加强你的网络钓鱼方法· 使用Apache mod_rewrite模块设置无效的 URI 重定向· 使用 Apache mod_rewrite模块创建基于操作系统的重定向· 使用 Apache mod_rewrite 模块对抗安全事件响应人员· 使用 Apache RewriteM
发布时间:2019-05-03 12:25 | 阅读:58521 | 评论:0 | 标签:内网渗透 技术 红蓝对抗

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云