记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华高对抗内存型WebShell检测技术学习笔记
戳上面的蓝字关注我吧!01前言最近在读《信息安全学报》的时候,发现在22年11月份发布的刊文中有一篇《面向Java的高对抗内存型Webshell检测技术》[1],由中国科学信息工程研究所单位所发布的刊文,第一作者是张金莉。论文介绍中说明了张金莉等人提出的研究方向和技术的可行性。
RWCTF 5th Shellfind复现
#IOT 49 个 #CTF-WriteUp 121 个 前言RealWorld CTF 5th 里的一道iot-pwn,根据真实设备固件改编而成,觉得题目贴近iot实战且很有意思,故在此记录一下复现过程。?
自动化提取恶意文档中的shellcode
本文为看雪论坛优秀文章看雪论坛作者ID:g0mx该shellcode提取器的应用对象是Maldoc,通过将市面上存在的相关分析工具进行组合,形成工具链,达到自动化定位及提取shellcode的目的。
shellcode动态注入!
声明:本人坚决反对利用文章内容进行恶意攻击行为,一切错误行为必将受到惩罚,绿色网络需要靠我们共同维护,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。Shellter将shellcode动态注入到可执行程序中实现免杀效果(目前仅支持32位可执行程序),例如:notepad/notepad++,putty等。
hids wazuh 系列4-反弹shell规则
0x00 介绍 1.背景介绍 传统的入侵检测,主要分为网络入侵检测系统和主机入侵检测系统,分别作用于网络层面和主机(服务器、办公电脑等终端)。 随着技术发展,出现了结合传统入侵检测系统和新技术(如数据分析、威胁情报、自动化操作、主动响应等)的新产品,这类新产品可能的名称是XDR、EDR、EPP等。 2.用途介绍 Wazuh 是 以OSSEC作为引擎的基于主机的入侵检测系统,用于主机端点和云工作负载的统一XDR和SIEM保护。
发布时间:2023-01-19 22:20 |
阅读:82128 | 评论:0 |
标签:shell
记一次Webshell检测引擎绕过测试
背景前几天阿里云开启了伏魔赏金计划第二期-WebShell绕过挑战赛,正好没事便报名参加了。这是我第一次参加这种Webshell绕过比赛,因此我对成功绕过的样本做了一些总结,写下了这篇文章。基本思路我在上传了一些样本做测试后,我发现引擎(指伏魔Webshell检测引擎)对函数和函数的参数具有一定的敏感性。例如,array_map函数,它的第一个参数是传入一个回调函数,第二个参数是传入一个数组,作为回调函数的参数,测试时出现了以下四种情况。
发布时间:2023-01-17 11:52 |
阅读:72655 | 评论:0 |
标签:shell
超6万Exchange服务器仍受到ProxyNotShell攻击影响
超6万Exchange服务器仍未修复CVE-2022-41082远程代码执行漏洞,受到ProxyNotShell攻击的影响。ProxyNotShell攻击是微软Exchange服务器中的两个安全漏洞的集合,即CVE-2022-41082 和CVE-2022-41040。攻击者利用这两个漏洞可以在受害者Exchange服务器上实现权限提升、实现任意代码执行和远程代码执行。漏洞影响Exchange服务器2013、2016和 2019版本。研究人员自2022年9月起就发现了ProxyNotShell在野攻击,微软也于2022年11月的微软补丁日发布了安全更新来修复这两个安全漏洞。
通过修改图标伪装你的Shell
我们在利用msf和cs生成shell时。默认情况下生成的文件是没有图标的。这在实际中对我们后期的“肾透”十分不友好。本文将为你介绍下,如何添加图标!修改EXE图标msf和cs生成shell的结构不一样,因此我们无法用同一款工具进行修改。
发布时间:2023-01-14 09:02 |
阅读:84697 | 评论:0 |
标签:shell
记一处任意文件上传没拿到webshell却拿到服务器的故事
前言:本来还准备学习,突然领导一个电话叫我起床干活,我真是开心极了o(╥﹏╥)o。初次投稿,大佬们包涵。1.:又开始辛苦工作了,扫描器辛苦了fuzz开始,扫到一处api文档打开一看好家伙,泄露了一些配置相关信息,以及真实ip,这里真实IP没做保护那就老样子扫描器干活,我负责嗑瓜子,幻想着有朝一日给领导一个木木哒。
发布时间:2023-01-11 13:22 |
阅读:70171 | 评论:0 |
标签:shell
PowerShell revshells
PowerShell revshells在提示符和工作目录上方显示 username@computer有部分 AMSI-bypass,使一些事情更容易TCP 和 UDPWindows Powershell 和核心 Powershell上传和下载文件的功能。
发布时间:2023-01-05 11:41 |
阅读:185434 | 评论:0 |
标签:shell
CertPotato|从WebShell到System权限
01 简介本文所介绍的CertPotato是一种能够在AD域环境中从WebShell的服务账户权限提升到本地System权限的技术。虽然名字包含Potato但是并没有利用NTLM中继攻击,其实现主要依赖于ADCS和TGT委派。
发布时间:2023-01-04 23:59 |
阅读:74063 | 评论:0 |
标签:shell
第二届WEBSHELL伏魔挑战赛开启报名
一年一度的“伏魔赏金计划”再度来袭!“伏魔赏金计划”前身是阿里云安全宙斯计划至今已举办五届,海内外超过2000位安全专家参与在数千名白帽子?
发布时间:2023-01-04 19:10 |
阅读:87560 | 评论:0 |
标签:shell
利用Shellcode突变器绕过内存扫描
今天我们发布了一个新的工具来帮助红队成员避免被EDR发现。壳代码是一小段代码,通常用作漏洞利用的有效负载,通常可以通过其"签名"或唯一模式检测到。Shellcode Mutator可在不影响其功能的情况下改变利用漏洞攻击源代码,更改其特征码并使其更难被可靠地检测为恶意代码。壳代码 网站名称:https://github.com/netitude/ShellcodeMutator背景用汇编语言编写壳代码的一个主要好处是,你可以完全控制壳代码的结构。例如,源文件中函数的内容和顺序可以(显然)更改,代码可以编译为新版本的壳代码。
在VPS上面安装Cs 实现外网Shell
我们在利用cs玩耍时,最头疼的莫过于没有公网IP问题。在前面的文章中我们讲过通过内网映射或者端口转发的方式使其上线。哪么有没有更简单的方法呢?实验环境vps(轻量服务器)cs4.5远在天边的好友(甲 乙 丙)在vps中安装cs因为我们的cs依赖于Java开发。所以我们需要在vps中安装java环境。执行下面命令进行安装。yum -y install java-1.8.0-openjdk*安装完成后,我们执行javac命令便可以看到相关java的信息。接着,我们上传cs到vps 并启动服务端。
发布时间:2023-01-02 09:01 |
阅读:133876 | 评论:0 |
标签:shell
SharpViewStateShell v1.1.0
0x00 项目介绍该项目是在 获取 .NET Web 框架权限后,上传特定的 aspx 脚本获取相关数据,然后进行权限维持使用。0x01 使用说明config 中的文本框需要填入输入,红框的数据是必须要填写的。特别说明:如果 Mode 为 45,则两个 Decryption 是必须填入的,并且需要勾选 .NET4.5。填写好所有数据之后,再进行 Initing。如果 NetVersion 为 4.8,则在 Initing 之后需要点击 v48disable,再进行功能使用。PS: Initing 之后,如果需要更新配置,必须重启程序重新配置才行。
发布时间:2022-12-31 02:55 |
阅读:332402 | 评论:0 |
标签:shell
bug bounty中常见的shell命令-实践篇
#bug bounty 225 个 #信息搜集 9 个 #漏洞挖掘 88 个 #赏金猎人 36 个 bug bounty中常见的shell命令-II声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任。
发布时间:2022-12-27 03:12 |
阅读:112298 | 评论:0 |
标签:shell
Msmap 是一个内存 WebShell 生成器
Msmap 是一个内存 WebShell 生成器。兼容各种容器、组件、编码器、WebShell/代理/杀手和管理客户端。用法git clone git@github.com:hosch3n/msmap.gitcd msmappython generator
OWASSRF:CrowdStrike发现Exchange绕过ProxyNotShell缓解措施的新攻击方法
CrowdStrike最近发现了一种新的漏洞利用方法由CVE-2022 - 41080和CVE-2022 - 41082组成,通过Outlook Web Access(OWA)实现远程代码执行(RCE)。新的利用漏洞攻击方法绕过URL重写缓解措施自动发现Microsoft提供的终结点以响应代理非外壳。 这一发现是最近CrowdStrike服务公司对几起播放勒索软件入侵进行调查的一部分,这些入侵的共同进入向量被确认为Microsoft Exchange。
可绕过微软 Exchange 的 ProxyNotShell 缓解措施,安全公司发现新勒索漏洞
IT之家 12 月 22 日消息,网络安全公司 CrowdStrike 近日在调查多款 Google Play 勒索软件后,发现了名为“OWASSRF”的新漏洞。黑客利用该漏洞绕过微软 ProxyNotShell URL 重写缓解措施,通过 Outlook Web Access(OWA)执行远程代码。安全专家在深入调查“OWASSRF”之后发现,其中常见的入口向量怀疑是 Microsoft Exchange ProxyNotShell 漏洞 CVE-2022-41040 和 CVE-2022-41082。
简单操作实现冰蝎jsp webshell 阿里云免杀
前言
前段时间模仿csroad师傅思路写了一个webhsell免杀生成工具但在某云 webshell检测平台败北,无意间在先知社区文章评论下发现一个哥斯拉的免杀思路,虽然当时给出的哥斯拉webshell已被记录查杀,但借助此思路稍微修改仍然可行。
实现
某云webshell检测平台是基于静态特征检测的如自定义类加载器、base64解码、AES解密等特征。
常规的免杀手段如下:
进行如上修改的webshell依然没有逃过查杀。
关于webshell免杀的应用思路
əhead@深蓝实验室重保天佑战队前言在攻防场景下,比如我们常常在找到某个上传接口,第一步肯定是先测试后缀是否有限制,第二步则是测试上传的文件是否能解析,最后便确认即将要上传的webshell内容是否有拦截。这里针对webshell内容拦截这块做了记录,下面先对aspx类型和asp类型这两块展开,希望能给大家作为参考。
发布时间:2022-12-15 13:20 |
阅读:159064 | 评论:0 |
标签:shell
SharpViewStateShell v1.0.2
只要知道 ASP.NET 中关于 ViewState 的 ValidationKey 和 ValidationAlg ,那么我们根据它反序列化函数中的判断,只需要从 ysoserial.net 扣取对应的签名过程即可。
发布时间:2022-12-15 00:00 |
阅读:625762 | 评论:0 |
标签:shell
Webshell 检测综述
摘要:随着互联网的快速发展,Web应用已成为人们日常生活和工作中必不可少的一部分,随之而来的是大量针对Web服务的攻击,在目标服务器上植入Webshell已成为攻击者最常用的手段。通过Webshell,攻击者可以在目标服务器上执行一些命令从而完成信息嗅探、数据窃取或篡改等非法操作,对Web服务器造成巨大危害。最开始研究人员通过从Webshell中提取特征码的方式来检测Webshell,后来为了逃避检测,混淆和加密技术在Webshell中被广泛采用,这极大地增加了Webshell检测的难度,为此许多研究人员开始采用机器学习技术来进行Webshell的检测。
发布时间:2022-12-14 18:25 |
阅读:149320 | 评论:0 |
标签:shell
Shell中的幽灵王者—JAVAWEB 内存马 【认知篇】
Goby社区第 21 篇技术分享文章全文共:6700 字 预计阅读时间:17 分钟自我介绍:大家好,我是 su18。无论是个人博客还是社区,已经很久没写技术文章了,原因有很多,时间、精力、心态等等。但在开源社区也算比较活跃,由于工作需要,今年 6 月份我编写并开源了一个项目 ysuserial,在原项目的基础上进行了优化、处理,并增添了很多新功能。
在披露 Log4Shell 一年后,大多数公司仍暴露在攻击之下
在Apache软件基金会去年11月披露Log4j漏洞一年后,虽然针对该漏洞本身的攻击数量低于最初的预期,但仍然对企业组织构成重大威胁。
安全研究人员说,仍然有很多系统没有针对该漏洞打补丁,企业在发现、修复和防止该漏洞上仍面临挑战。
“Contrast Security的首席安全信息官 David Lindner说:”Log4j被用于约64%的Java应用程序,而其中只有50%的应用程序已经更新到完全固定的版本,这意味着攻击者将继续针对它。至少现在,攻击者继续在寻找通过Log4j进行攻击的途径。
在披露Log4Shell一年后,大多数公司仍暴露在攻击之下
在Apache软件基金会去年11月披露Log4j漏洞一年后,虽然针对该漏洞本身的攻击数量低于最初的预期,但仍然对企业组织构成重大威胁。安全研究人员说,仍然有很多系统没有针对该漏洞打补丁,企业在发现、修复和防止该漏洞上仍面临挑战。"Contrast Security的首席安全信息官 David Lindner说:"Log4j被用于约64%的Java应用程序,而其中只有50%的应用程序已经更新到完全固定的版本,这意味着攻击者将继续针对它。至少现在,攻击者继续在寻找通过Log4j进行攻击的途径。
无字母数字命令执行黑魔法——shell脚本变量
前言无字母数字webshell算是一个很老生常谈的话题了,但由于利用条件比较苛刻,一般只会在CTF题目中出现,作为一种有趣的绕过的思路,p牛关于这个问题也写过两篇非常出色的博客,通过p牛的博客我也学到了许多有趣的bypass技巧。最近翻看其他大佬博客的时候,对于这个问题我又发现了一个很有趣的小tips,那就是通过linux中的某些特殊变量执行命令,或许这种技巧能在真实的环境或者CTF赛题中出现。
CVE-2022-25765-pdfkit-Exploit-Reverse-Shell
CVE-2022-25765-pdfkit-Exploit-Reverse-Shellpdfkit <0.8.6 command injection shell. The package pdfkit from 0.0.0 are vulnerable to Command Injection where the URL is not properly sanitized. (Tes
Cobaltstrike4.0 —— shellcode分析
#审计 4 个 #java 6 个 原文由作者授权转载,首发于:奇安信攻防社区https://forum.butian.net/share/20170x01 本文主要内容本文主要对cobaltstrike4.0中的shellcode的运作原理的分析。
[原创]从NCTF 2022 ezshellcode入门CTF PWN中的ptrace代码注入
首先了解一下ptrace函数ptraceptrace即process tracer(进程跟踪),ptrace系统调用是 Linux 提供的一个调试进程的工具,其提供了一种可以观察和控制另一个进程(tracee)的方法,并检查和更改tracee的存储器和跟踪器,主要用于实施断点调试和系统调用跟踪,linux下常见的调试工具GDB原理就是基于ptrace。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
🙇🧎¥由自富财,长成起一↓
