记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

远控免杀从入门到实践(8)-shellcode免杀实践

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby 8、远控免杀从入门到实践(8)-shellcode免杀实践 前言 最近在研究shellcode的免杀技术,因本人以前主要是搞逆向的,shellcode免杀方面还是个小白,所以就想着去看
发布时间:2020-03-08 14:19 | 阅读:47518 | 评论:0 | 标签:系统安全 shellcode 免杀 远控

Windows Service Tracing中的权限提升漏洞分析 CVE-2020-0668

在这篇文章中,我们将讨论Windows Service Tracing中的一个任意文件移动漏洞。在我们的测试过程中,该漏洞将影响从Windows Vista至Windows 10的所有版本操作系统,但是Windows XP也很有可能会受此漏洞影响,因为XP系统中也有这项功能。 Windows Service Tracing Service Tracing这项服务在Windows平台上历史悠久,早在XP就已经引入了这个功能。该功能可以给分析人员提供当前正在运行的服务及模块的相关基本调试信息,任意本地用户都可以通过编辑注册表键值(HKLMSOFTWAREMicrosoftTracing)来对其进行配置。 在Windows中,每一个服务或模块都对应了一个注册表键,每一个键包含
发布时间:2020-03-07 16:14 | 阅读:28558 | 评论:0 | 标签:漏洞 系统安全 CVE-2020-0668 Windows Service Tracing 权限提升 漏洞分析 CVE

如何从内存加载DLL

本教程介绍了一种技术,该技术可如何从内存中加载动态链接库(DLL)。 文章结尾将给出github地址 Windows可执行文件– PE格式 首先我们先看看pe的结构 DOS headerDOS stub PE header Section header Section 1 Section 2 . . .
发布时间:2020-03-07 16:14 | 阅读:25617 | 评论:0 | 标签:系统安全 dll windows 动态链接

远控免杀从入门到实践(6)-代码篇-Powershell

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby 8、远控免杀从入门到实践 (8)白名单总结篇 9、远控免杀从入门到实践 (9)深入免杀 (暂定) 10、远控免杀从入门到实践 (10
发布时间:2020-03-06 13:43 | 阅读:30346 | 评论:0 | 标签:系统安全 powershell 免杀 远控

在IPA中重签名iOS应用程序

当我们在对iOS应用程序执行黑盒安全测试时,我们一般只能从AppStore来访问和获取iOS应用程序。但是在大多数情况下,客户都会给我们提供一个IPA文件。在黑盒测试过程中,我们无法访问目标应用的源代码,因此通过Xcode将其部署到设备并进行测试,几乎是不可能的。但是有一种可行的解决方案,即使用我们手头上的配置文件来重新启动应用程序,并将其部署到我们的测试设备上。 在这篇文章中,我们将演示如何重新对一个iOS应用程序签名,并生成一个IPA文件,然后将其部署到我们的测试设备上。 代码签名 代码签名作为一种安全保护措施,苹果要求所有在其设备上运行的代码都必须由他们信任的开发人员进行数字签名,而数字(代码)签名的签名的工作方式与SSL证书在网站上的工作方式类似。 苹果
发布时间:2020-03-05 15:37 | 阅读:21623 | 评论:0 | 标签:系统安全 ios IPA 应用程序 iOS

构造关联用户搜索的LNK文件研究

在此之前,Forensic的研究人员曾使用LNK快捷方式文件来恢复关于目标用户近期访问文件的元数据,其中包括那些访问过之后就删除的文件。在近期的一次研究过程中,FireEye Mandiant的研究人员遇到了一种能够验证攻击者是否访问目标文件的LNK文件,其中就包括Windows资源管理器中的搜索结果。根据我们的经验,结合上述这两种技术将能够设计出一种全新的取证方式。在这篇文章中,我们将跟大家分享这一个能够更好地映射出攻击者活动的技术。 Windows LNK格式 .lnk后缀是Windows中的一种文件格式,这种代码格式文件包含的信息可以用来访问Windows Shell中的其他数据对象。 LNK快捷方式文件时一种Shell Item类型,当用户通过一个支持的应用程序
发布时间:2020-03-05 15:37 | 阅读:21684 | 评论:0 | 标签:系统安全 lnk windows 关联用户

远控免杀从入门到实践(4):代码篇-C#

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell 7、远控免杀从入门到实践 (7)代码篇-Golang+Ruby 8、远控免杀从入门到实践 (8)白名单总结篇 9、远控免杀从入门到实践 (9)深入免杀 (暂定) 10、远控免杀从入门到实践 (10
发布时间:2020-03-04 13:07 | 阅读:23668 | 评论:0 | 标签:系统安全 C++ 免杀 远控

Pwn In Kernel(一):基础知识

Kernel Pwn In CTF 简单分析一下 CTF Kernel Pwn 题目的形式,以 2017 CISCN babydrive 为例。 先对文件包解压 ➜ example ls babydriver.tar ➜ example file babydriver.tar babydriver.tar: POSIX tar archive ➜ example tar -xvf babydriver.tar boot.sh bzImage rootfs.cpio ➜ example ls babydriver.tar boot.sh bzImage rootfs.cpio 得到 boot.sh,bzImage,rootfs.cpio 三个文件 boo
发布时间:2020-03-03 10:36 | 阅读:23762 | 评论:0 | 标签:系统安全 CTF Pwn In Kernel

先斩后奏:一个靠入侵社交账号打商业广告的黑客组织

Hi, we are OurMine. 这一句话一旦出现在一个大V推特账号推文时,就意味着他的账号被黑了。 广告时间 2020年2月15日,巴萨官推账号遭遇了黑客攻击,黑客利用巴萨官推,发布了诸如内马尔回归等的一些不实消息。 紧接着连发了多天推文,自曝身份为OurMine,并称这已经是第二次入侵巴萨推特,此次的账号推特安全性比之前的要高,但是还不是最好的,为了提升你的账号安全级别,请联系他们。 此外,从OurMine可以看私信意味着确实成功登陆,而不是借助第三方平台发推文。 而第一次入侵巴萨官推,他们发了一个欢迎迪马利亚加盟巴塞罗那。而在巴萨官网,并没有相关消息。 同样也是随后发了一条推文澄清,同样是留下了联系方式。 这好比小偷去偷东西,到
发布时间:2020-03-03 10:36 | 阅读:49083 | 评论:0 | 标签:系统安全 商业广告 社交账号 黑客 入侵

Ctftool:一款功能强大的交互式CTF漏洞利用工具

Ctftool是一款交互式的命令行工具,可以帮助安全研究人员对CTF(Windows平台下用于实现文本服务的协议)进行安全测试。在Ctftool的帮助下,安全研究人员可以轻松对Windows内部运行和调试文本输入处理器的复杂问题进行分析,并检测目标Windows系统的安全性。 除此之外,Ctftool还允许研究人员根据自己的需要来编写一些简单的脚本来实现与CTF客户端或服务器端的自动化交互,以及执行简单的模糊测试任务。 工具下载 广大研究人员可以使用下列命令将项目源码克隆至本地: git clone https://github.com/taviso/ctftool.git 项目构建 注意:如果你不想自己构建项目源码的话,你可以直接访问该项目的Release页面来下载编译好的版本。 我们使用了GNU ma
发布时间:2020-02-29 16:18 | 阅读:31351 | 评论:0 | 标签:工具 系统安全 CTF Ctftool 漏洞利用 漏洞

详解64位静态编译程序的fini_array劫持及ROP攻击

用gdb调试main函数的时候,不难发现main的返回地址是__libc_start_main也就是说main并不是程序真正开始的地方,__libc_start_main是main的爸爸。 然鹅,__libc_start_main也有爸爸,他就是_start也就是Entry point程序的进入点啦,可以通过readelf -h查看: ELF Header: Magic: 7f 45 4c 46 02 01 01 03 00 00 00 00 00 00 00 00 Class: ELF64 Data: 2's complement, little endian
发布时间:2020-02-29 11:53 | 阅读:24107 | 评论:0 | 标签:系统安全 fini_array ROP 劫持 攻击

CVE-2020-0646:SharePoint中的远程代码执行漏洞分析

漏洞描述 2019年11月份,安全研究人员在微软SharePoint Online的工作流中发现了一个代码注入漏洞,并将其上报给微软公司。攻击者一旦成功利用该漏洞,将能够在目标系统中实现远程代码执行。微软在获取到漏洞信息之后,第一时间修复了在线平台上的相关漏洞,但是却到2020年的1月份才修复.NET Framework中的相关问题。因此,如果你的SharePoint On-Rremise版本没有安装2020年1月份的.NET补丁,那你将仍然会受到该漏洞的影响。 需要注意的是,如果你的IIS配置支持.XOML扩展,那么在文件上传时你同样有可能受到该漏洞的影响。 CVE-2020-0646漏洞分析 在编译XOML格式文件时,攻击者可以利用System.Workflow.Activities命名空间中的某些参数来
发布时间:2020-02-28 18:13 | 阅读:27073 | 评论:0 | 标签:漏洞 系统安全 CVE-2020-0646 SharePoint 漏洞分析 CVE

SecOps团队在了解安全工具的运作时面临挑战

根据Keysight最新发布的报告,目前安全专业人员对自己所用的安全工具过于自信。然而,有50%的人却表示自己遇到过安全漏洞,因为他们在用的安全产品没有发挥应有的作用。 安全测试解决方案 57%的安全专业人员对他们当前的安全解决方案充满信心,他们认为这些解决方案能发挥其该有的作用。但是,只有35%的调查受访者表示他们在使用工具前会进行测试,确保其安全产品能按预期配置和运行。 86%的受访者认为安全测试解决方案可以很好地调和以上两者的差距,是比较有价值的一种方法,该解决方案使用内部和外部攻击媒介来主动测试其公司的安全产品和状态。 Keysight安全解决方案副总裁Scott Register 说到:“企业面临着持续不断的网络攻击,威胁着他们的业务。在大多数情况下,他们试图通过购买安全工具来应对这些
发布时间:2020-02-27 11:17 | 阅读:22761 | 评论:0 | 标签:系统安全 安全工具 测试 解决方案

AgentSmith-HIDS:一套轻量级高性能的基于主机的入侵检测系统(HIDS)

AgentSmith-HIDS 从技术角度来说,AgentSmith-HIDS严格意义上来说并不是一个传统的“基于主机的入侵检测系统”(HIDS),因为就该项目目前开源的部分来说,它还缺少了规则引擎以及相关的检测能力。但是它可以作为一个高性能的主机信息收集工具来帮助安全研究人员构建属于自己的HIDS。 而AgentSmit-HIDS的优秀特性(从内核态获取尽可能完整的数据)在跟用户态的HIDS相比,拥有巨大的优势: 1、性能更优秀:通过内核态驱动来获取相关信息,无需进行类似“遍历/proc”这样的操作来提升性能或进行数据补全;数据的传输使用的是共享内存,相对来说也有更好的性能表现。 2、更加难以躲避和绕过:由于我们的信息获取来自于内核态驱动,因此面对很恶意行为都无法绕过AgentSmith-HIDS的检测。
发布时间:2020-02-19 17:36 | 阅读:28411 | 评论:0 | 标签:系统安全 AgentSmith-HIDS HIDS 入侵检测 入侵

利用屏幕亮度从非联网计算机中窃取数据

据The Hacker News分享的一项最新网络安全研究表明,黑客只要简单地改变屏幕亮度就可以从计算机窃取敏感信息,听起来这似乎是一件不可思议的事,然而,却真实存在。 近年来,几位网络安全研究人员提出一种窃取数据的新方法,即在气隙系统计算机中窃取数据,这种系统将电脑与互联网以及任何连接到互联网上的电脑进行隔离,简单来说就是非联网计算机。 目前,这种技术的使用范围仅限于要求高度安全的数据获取过程,例如军事机密网络、零售商处理信用卡和借记卡的支付网络,以及工业控制系统中的关键基础设施运营,另外还有不少记者会用其来保护敏感数据。 这种新型的攻击方法原理在于利用很少人会注意到的计算机组件辐射,例如光、声音、热、无线电频率或超声波,甚至利用电源线中的电流波动,来进行计算机入侵。例如,攻击者可能会破坏供应
发布时间:2020-02-15 08:55 | 阅读:27718 | 评论:0 | 标签:系统安全 屏幕亮度 气隙攻击

GDA:一款基于C++的新型Android逆向分析工具

GDA(GJoy Dex Analysizer) GDA是一款完全基于C++开发的新型反编译工具,因此该工具并不仅依赖于Java平台。该工具使用起来非常方便,而且运行速度非常快,支持APK、DEX、OBED和oat等文件格式。 实际上,GDA是一款新型的Dalvik字节码反编译工具。该工具是完全独立的,并且运行非常稳定,并且能够在没有安装Java VM的环境下运行。GDA的大小只有2MB,我们可以直接在任何新安装的Windows操作系统或虚拟机系统中使用该工具,无需进行额外配置。此外,GDA还有以下更加出色的功能: 功能介绍 交互式操作 1、字符串、类、方法和域的交叉引用; 2、搜索字符串、类方法和域; 3、Java代码注释; 4、方法、域、类的重命名; 5、将分析结果存储至GDA数据库文件中; 辅助分析
发布时间:2020-02-14 17:26 | 阅读:32236 | 评论:0 | 标签:工具 系统安全 C++ GDA 逆向分析工具 Android 逆向

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云