记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

借助Rekall进行内存实时分析

工作中,使用过Volatility进行内存取证的朋友可能已经注意到了,它有一个缺点:无法进行实时内存分析。那么,如果需要实时内存取证的话,该怎么办呢?别急,这时候Rekall就可以派上用场了。Rekall的下载地址如下所示:https://github.com/google/rekall/releasesRekall支持以下操作系统:· Microsoft Windows XP Service Pack 2和3· Microsoft Windows 7 Service Pack 0和1· Microsoft Windows 8和8.1· Microsoft Windows 10· 
发布时间:2019-01-21 12:20 | 阅读:2345 | 评论:0 | 标签:技术 Rekall

避免使用AtomArrayBuffers中的竞争条件

在《ArrayBuffers和SharedArrayBuffers的介绍》一文中,我谈到了在使用SharedArrayBuffers时是如何可能导致竞争条件的,这使得大家很难使用SharedArrayBuffers。另外在文章的最后我还提到不希望应用程序开发人员直接使用SharedArrayBuffers。但是,具有其他语言的多线程编程经验的库开发人员可以使用这些新的低级API来创建更高级别的工具。如果是这样,那么应用程序开发人员则可以直接使用这些工具而不用接触SharedArrayBuffers或Atomics。即使你可能用不到SharedArrayBuffers或Atomics,但我认为了解它们是如何工作的,仍然会
发布时间:2019-01-19 12:20 | 阅读:15166 | 评论:0 | 标签:技术

在没有execve的情况下如何运行Linux可执行文件

ELF(ExecutableandLinkableFormat,可执行和可链接格式)作为嵌入式系统(如Linux、BSD系统和Solaris系统)中基本的文件格式,被广泛的使用着。按照ELF文件标准,使用ELF格式的文件分为可重定位文件,可执行文件、目标共享文件、核心转储文件。ELF文件用于定义不同文件类型的对象文件内容和格式,可移植性很强。ELF文件有许多技巧,比如我们在*nix Meterpreter实现中使用的那些技巧,但这些技巧需要使用我们的特殊工具链或配置有-static-pie标志的GCC 8编译器构建每个可执行文件。如果碰到特殊情况该怎么办?比如内核不需要磁盘上的文件来加载和运行代码。手工执行技巧对于可执
发布时间:2019-01-18 12:20 | 阅读:18775 | 评论:0 | 标签:技术 linux

ArrayBuffers和SharedArrayBuffers的介绍

在《内存管理技术的具体实现介绍》一文中,我解释了像JavaScript这样的内存管理语言是如何工作的,我还解释了手动内存管理如何在C语言中工作。本文就让我谈论ArrayBuffers和SharedArrayBuffers。这是因为即使你正在使用具有自动内存管理的JavaScript,ArrayBuffers也可以为你提供一种方法来手动处理一些数据。正如大家在上一篇文章中了解的那样,出于对自动内存管理安全性的考虑,开发人员更容易使用它,但也会增加一些开销。但在某些情况下,这种自动内存管理可能会导致性能问题。例如,当你在JS中创建变量时,引擎必须判断这是什么样的变量,以及如何在内存中进行表示。因为引擎是处于判断的状态,所以
发布时间:2019-01-17 12:20 | 阅读:12212 | 评论:0 | 标签:技术

通过Elasticsearch旧漏洞进行传播的加密货币挖矿机

近日,我们在“蜜罐”中检测到了一类涉及到ElasticSearch的加密货币挖矿活动。 ElasticSearch是一个基于Lucene的搜索服务器,它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。Elasticsearch是用Java开发的,并作为Apache许可条款下的开放源码发布。此次我们探测到的攻击,利用的是ElasticSearch一些已知的漏洞——CVE-2015-1427和CVE-2014-3120——进行部署的。CVE-2015-1427是Groovy脚本引擎中的一个漏洞,它允许远程攻击者通过自行编写的脚本执行任意shell命令;CVE-2014-3120是Elas
发布时间:2019-01-16 12:50 | 阅读:13375 | 评论:0 | 标签:技术 Elasticsearch 挖矿机 加密 漏洞

深入考察无服务器架构的安全威胁,SLS-3:敏感数据泄露

告诉大家一个好消息!OWASP Serverless Top 10的第一版已经发布了!因此,我们将继续撰写系列文章(第一篇文章,第二篇文章),带大家领略一个全新的、无服务器架构的安全国度。在那里,原来的安全控制将难以部署,无论是黑客还是开发者,对于具体该如何展开行动都感到非常迷惑。前面,我们已经为大家介绍了事件注入攻击和身份验证攻击。在本系列的第三篇文章中,将讨论公司面临的另一种重大安全隐患。我们都听说过重大的数据泄露事件,比如最近的数据泄露——5000万Facebook用户数据遭到泄露。虽然隐私受到损害的通常是最终用户,但公司的成本也是非常高昂的。在极端情况下,数据泄露甚至可能导致公司关门大吉。这方面最好的一个例子就
发布时间:2019-01-16 12:50 | 阅读:12001 | 评论:0 | 标签:技术

态势感知之Malware Callback

0x00、业务需求在企业安全需求当中,用户最担心就是自己的服务器被入侵。作为安全运营人员,在应急响应过程中,最重要的是确定主机被入侵后的恶意行为,当自己的企业使用了自动化运营工具-态势感知,我们可以量化其入侵后的恶意行为。以下是近期主机入侵后的恶意行为统计分析。从上表可以看出,各种花式对外连接C2、恶意软件行为、对外可疑连接、挖矿行为、对外DDoS行为、DGA域名外联、是主要的恶意行为方式。那么我们如何通过现有手段监控到这些行为呢?0x01、产品解决方案我们假设你企业中有两种三种监控部署手段:1、只拥有网络层监控手段,这种监控方式容易部署,对客户打扰最少。2、只拥有主机层监控手段,这种监控方式在云服务器端部署方便。3、
发布时间:2019-01-14 12:20 | 阅读:11935 | 评论:0 | 标签:技术 Malware Callback

内存管理技术的具体实现介绍

要理解为什么将ArrayBuffer和SharedArrayBuffer添加到JavaScript中,你需要了解一些关于内存管理的内容。你可以将设备中的内存看作一堆盒子,这么说吧,就像你的邮箱或储蓄抽屉。如果你由于某些目的,需要留下一些东西,你可以把它放在这个抽屉里。在每一抽屉旁边,都会标记一个数字,这是一个内存地址,就相当于你告诉某人在哪里可以找到你为他们留下的东西。其中这些盒子中的每一个的尺寸大小都是相同的,并且可以容纳一定量的信息。盒子的尺寸是则根据设备而异。这个大小就被称为字大小,它通常是32位或64位。但是为了使其更容易显示,我将使用8位的字大小。如果我们想把数字2放在这些盒子之一,我们可以很容易地做到这一点
发布时间:2019-01-14 12:20 | 阅读:10169 | 评论:0 | 标签:技术

缓冲区实例讲解之protostar stack3挑战篇

引言在上两篇文章中1、2,我们已经解决了stack0、stack1和stack2挑战,今天,我们将为读者介绍如何解决protostar stack3。在解决前三个挑战的时候,我们使用了二进制文件的源代码,来识别缓冲区溢出发生的位置并加以利用。然而,对于stack3来说,我们虽然也有源代码,但是,我们却不打算使用它,相反,我们将使用一些实用的技术来解决这个挑战。那我们为什么要这么做呢?在现实情况下,我们基本上是没有机会得到目标程序的源代码,对吧? 如果您还没有读过我之前撰写的关于缓冲区溢出的文章,建议您先阅读它们。./Stack3让我们先来考察一下这个程序,看看它是做什么的。./stack3如图所示,我们没有看
发布时间:2019-01-13 12:20 | 阅读:15434 | 评论:0 | 标签:技术

H1-702 CTF – Web题目 Write-Up

当你打开题目链接后,你会看到以下内容:可以在web题目的网站上找到相关说明:http://159.203.178.9/在浏览器中打开此链接,你可以看到一个看起来很正常的HTML页面:从页面上可以看出有个可以存储笔记的路径,某个笔记中包含了flag。页面的标题表明这道题目与RPC有关。这让我想起我去年完成的一个CTF题目,我认为flag可能被隐藏在一个非80端口上。所以,我执行了一个基本的nmap端口扫描:nmap -sT 159.203.178.9 -p1-65535只打开了80和22端口。我尝试了一些我一开始所想到的路径,比如/xmlrpc.php,/notes,/rpc等等,发现这些路
发布时间:2019-01-11 12:20 | 阅读:24500 | 评论:0 | 标签:技术 CTF

逆向入门方法与工具(至少可以节省你70%的分析时间)

逆向工程乍看起来似乎很复杂,但是通过一个好的方法和工具包可以让你对其更加了解和使用时更得心应手。方法假设你已经下载了一个二进制文件,接着RE需要两种类型的分析,静态和动态。静态分析将帮助你更好的了解二进制文件中的内容,而动态分析则可让你逐步跟踪每个注册表中发生的具体变化以及使用哪些系统调用等。静态分析我必须承认,我没有时间评估目前各种不同工具。因为我发现了一种我认为比较好用的工具——Binary Ninja,它只有1.7k大小,且成本较低,只有99美元。Binary Ninja专门用于静态分析,且提供了一个非常专业的图形用户界面,当你必须处理的信息量巨大时,Binary Ninja会非常有用。如上图所示,Binary
发布时间:2019-01-11 12:20 | 阅读:23068 | 评论:0 | 标签:技术 逆向入门

渗透技巧——Windows下的Access Control List

0x00 前言Windows系统中的ACL(Access Control List),用来表示用户(组)权限的列表。在渗透测试中,理解并运用ACL,尤其在后门利用(提权)方面,可供发挥的空间很大。而站在防御的角度,如果系统被攻破,找到并清除攻击者留下的ACL后门,同样需要对ACL有一定的了解。0x01 简介本文将要介绍以下内容:· ACL相关概念· 查看ACL· ACL利用(文件、注册表和域环境)· ACL检测0x02 ACL相关概念官方文档:https://docs.microsoft.com/en-us/windows/desktop/SecAuthZ/access-control-l
发布时间:2019-01-08 12:21 | 阅读:22509 | 评论:0 | 标签:技术 渗透技巧

如何检测并清除WMI持久化后门

概述WMI(Windows Management Instrumentation)事件订阅(Event Subscription)是一种非常流行的终端持久化技术。我们针对Empire的WMI模块( https://github.com/EmpireProject/Empire )进行了尝试,并对其模块进行分析,同时还汇总了可用于查看和删除WMI事件订阅的PowerShell命令。本文将主要阐述如何检测WMI持久化后门并进行移除。“WMI事件订阅”在MITRE ATT&CK技术中的编号为T1084,详情请参见: https://attack.mitre.org/wiki/Technique/T1084 。攻击者可
发布时间:2019-01-08 12:20 | 阅读:18598 | 评论:0 | 标签:技术 WMI 后门

如何快速捕捉0 day Payload

0x00、业务需求应急响应小伙伴们估计还记得上个月Thinkphp RCE那个漏洞吧,目前这个漏洞影响非常广泛,特别是使用php写的CMS大部分都遭殃了,而且这种攻击还不断的出现各种花式利用,最近的蜜罐报警中也出现了。在本事件中,我们发现获取这种0day的渠道其实很有限,通常都是从:[email protected],www.exploit-db.com,pastebin.com等公开的漏洞跟踪平台获得,但是大多数信息都是滞后的。无法完成快速响应。圈内的人都说,“这都还不如自己的朋友圈知道的早”。如果你掌握全球Top流量的互联网大厂,云厂商,现有的0 day应急响应流程大致:查询现有的日志流程留存,比如:ht
发布时间:2019-01-07 12:20 | 阅读:21729 | 评论:0 | 标签:技术 漏洞

如何在内存中检测恶意软件

本文将介绍一些基于内存的攻击中最常见的技术,并寻求一种低干扰方法来检测隐藏在内存中的攻击。内存攻击技术内存攻击常见的技术包括shellcode注入,反射式DLL注入,内存模块,Process Hollowing,重写模块以及Gargoyle(ROP / APC)。ShellCode注入技术Shellcode注入是最基本的内存攻击技术,也是使用时间最长的。 shellcode注入的基本方法是包含四个步骤:1.打开目标进程(OpenProcess);2.在进程中分配一大块内存(VirtualAllocEx);3.将shellcode有效内容写入新分配的部分(WriteProcessMemory);4.在远程进程中创建一个新
发布时间:2019-01-06 12:20 | 阅读:21343 | 评论:0 | 标签:技术

Dridex的进化史

从2011年被发现至今,Dridex银行木马已经成为最流行的银行木马家族。光在2015年,Dridex造成的损失估计就超过了4000万美元,与其他银行木马家族不同,因为它总是在不断演变并让其变得更加复杂。
发布时间:2019-01-04 17:22 | 阅读:28349 | 评论:0 | 标签:技术 DRIDEX

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云