记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Windows AD基础知识

1、概述 本文侧重于从不同角度了解Windows Active Directory环境。如从管理员身份配置安全策略的角度、攻击者绕过安全策略的角度、检测攻击者的角度。导致Active Directory受攻击破坏的因素有很多,比如错误的配置、糟糕的维护程序以及管理员犯的其他很多错误。文章涉及基本和高级的概念、环境配置及攻击,内容可能有点长,但是这有助于模拟不同的攻击,模拟和了解红队的攻击行为。
发布时间:2022-06-15 11:51 | 阅读:10728 | 评论:0 | 标签:Active Directory AD PowerShell windows Windows Active Direct

利用log4shell传播的StealthLoader病毒分析后续

概述: 在上篇文章中我们对StealthLoader做了简单的分析,本文将简要分析StealthLoader加载的StealthBot的内容。 从上篇文章结尾处的load的位置dump出样本,发现此样本有混淆,有反调试,通过与”microsoft.com”尝试通信检测网络;并且获取系统信息,最终释放挖矿程序以及账户配置信息等,通过创建开机启动项等实现持久化。 行为分析: 去混淆后可以更清晰的看出程序的逻辑,获取程序执行的路径 获取两次获取系统时间作差检测调试。 创建子线程,休眠 2147367705ms后杀死当前主进程。 尝试解析“microsoft.com”的ip,如果解析不成功则杀死进程。
发布时间:2022-01-06 11:21 | 阅读:58363 | 评论:0 | 标签:dump load log4shell microsoft.com PowerShell StealthLoader

powershell 解码分析の测试(LiqunKit?) – vulsee.com

起因 不知咋的,群里突然发了些LiqunKit带病毒的截图,然后开始说有后门,异常流量什么的鬼.. 刚好前一秒上土司也看到了这工具, 项目地址 https://github.c
发布时间:2021-11-30 20:51 | 阅读:66944 | 评论:0 | 标签:学习路上 LiqunKit_1.5 powershell powershell解码 redis startup.hta

【安全研究】powershell在主机中是否存在安全隐患?

近日,安全狗海青实验室在研究powershell攻击运用到主机实战场景时,对powershell在主机中是否存在安全问题进行了一次较为全面的分析,并介绍了powershell从灰色工具逐步演变成为攻击利用工具的过程、攻击者的利用手段,最后分享了如何针对powershell攻击做效防御。   从0到1的突破是极为困难的;从1到N却容易得多,powershell的攻击也是如此。从0到1的突破困难,但从1复制到N个1却容易得多,即,先从无到有,而后powershell攻击方式已比比皆是,成为臭名昭著的攻击利用工具。
发布时间:2021-01-07 12:19 | 阅读:127508 | 评论:0 | 标签:APT攻击 Cmd hta PowerShell PowerShell.exe WMI 内网渗透 勒索病毒软件 后期渗透

CVE-2020-16898 &Bad Neighbor &Windows TCP/IP远程代码执行漏洞分析

一、漏洞信息 1. 漏洞简述 l 漏洞名称:Windows TCP/IP Remote Code Execution Vulnerability l 漏洞编号:CVE-2020-16898 l 漏洞类型:Design Weakness l 漏洞影响:Code Execution l CVSS评分:9.8 l 利用难度:Medium l 基础权限:不需要 2. 组件概述 TCP/IP是Internet上使用的通信协议。
发布时间:2020-10-19 17:06 | 阅读:198363 | 评论:0 | 标签:Bad Neighbor Cmd CVE-2020-16898 IPv6 PowerShell RDNSS tcpip.

远控免杀从入门到实践(6)-代码篇-Powershell

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!&
发布时间:2020-03-06 13:43 | 阅读:230841 | 评论:0 | 标签:系统安全 powershell 免杀 远控

Check-LocalAdminHash:一款基于PowerShell的本地管理员识别工具

Check-LocalAdminHash Check-LocalAdminHash是一款基于PowerShell开发的工具,它可以尝试通过WMI或SMB来对多台主机进行身份验证,并通过密码哈希来判断用户提供的凭证是否属于本地管理员账户。 如果你获取到了一个用户账户的密码,并且需要判断该用户账户是否为目标网络系统中的本地管理员账户时,Check-LocalAdminHash就派上用场了。值得一提的是,该工具还集成了两个第三方工具,即Invoke-TheHash(用于凭证检测)和PowerView的脚本工具模块(用于枚举域名计算机)。
发布时间:2020-02-20 15:42 | 阅读:154763 | 评论:0 | 标签:工具 Check-LocalAdminHash powershell 识别需求

持续对抗xHunt:通过DNS隧道检测阻止新型PowerShell后门

摘要在对xHunt活动的持续分析过程中,我们观察到存在与pasta58[.]com域名相关联的多个域名,这些域名与已知的Sakabota命令和控制(C2)活动相关。在2019年6月,我们观察到其中一个重复使用的域名(windows64x[.]com)被用作新的基于PowerShell后门的C2服务器,我们将其命名为CASHY200。该PowerShell后门使用DNS隧道与其C2服务器进行通信,通过向上述域名所对应的攻击者控制的域名服务器发出DNS A查询来实现。CASHY200解析C2服务器在DNS回答中提供的数据,以在系统上运行命令,并将结果通过DNS查询的方式发送回C2。
发布时间:2019-11-29 13:25 | 阅读:139014 | 评论:0 | 标签:技术 DNS Powershell xHunt 后门

无 PowerShell.exe 运行 PowerShell 脚本的几种方法

本文将概述在不使用 powershell.exe 的情况下运行 powershell 脚本和命令的最佳工具。在过去的几个月里,我通过观察攻击者以及随之而来的杀毒软件的移动情况后,我打算写这篇文章给所有的渗透测试人员和红队成员,他们正在寻找在后漏洞利用阶段使用 PowerShell 脚本或命令行的最佳技术,而不需要运行 PowerShell.exe,从而避免被下一代杀毒软件、 EDR 或蓝队或威胁追踪团队捕获。在网上,我花了一些时间尝试和分析适合这个目的的不同工具。 对于每一个工具,我都给出了我个人的评分。 请让我知道你的想法以及你的经验或其他与文本提到的类似的工具。
发布时间:2019-11-28 13:25 | 阅读:119136 | 评论:0 | 标签:内网渗透 安全工具 系统安全 Powershell

powershell渗透利用(入门)

Powershell简介PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,并且powershell存在于诸多系统中。Powershell编写脚本很多人不太了解powershell,包括它内置了很多的命令,假如你想写一个powershell脚本,那么可以通过定义函数,然后调用这些命令(因为本人有点小菜,所以就想到一个小小的方法,那就是用后面介绍的ise)。我们可以通过Get-Command命令 。Get-Command使您可以一次显示所有可用的PowerShell命令。
发布时间:2019-02-26 12:20 | 阅读:148992 | 评论:0 | 标签:技术 Powershell

如何从PowerShell内存转储中提取执行的脚本内容

前言在我们分析了如何从PowerShell进程转储中提取活动历史记录后,又产生了一个有意思的后续问题:“是否可以提取已经执行的脚本内容(来自磁盘),即使这些文件未被捕获?”答案是肯定的,但这一过程也非常复杂。为了详细讲解这一方法,我们将从侦查开始起步。在我们的研究过程中,很多地方都需要WinDbg协助完成自动化操作,因此我们的第一步就是安装WinDbg模块。要部署我们的实验环境,我们编写了这个简单的脚本,并将其保存在类似于C:temp的位置:打开PowerShell会话,运行脚本,然后创建转储文件。
发布时间:2019-02-01 17:20 | 阅读:200067 | 评论:0 | 标签:技术 Powershell

PowerShell无文件持久化技术与常用的防御绕过技术

目前为止,PowerShell仍然是网络安全专家进行防御和黑客进行攻击的首选工具。原因很简单,PowerShell具有很好的可扩展性,支持能力以及适应各种编程语言。如PowerShell Empire,PowerSploit等,都被安全研究人员以及黑客所使用。这两天,就有安全平台检测出了有恶意软件利用PowerShell所进行的攻击,该攻击可以进行持久性攻击并绕过传统安全防护的检测。恶意软件会诱骗用户对网站上的Adobe Flash浏览器插件进行更新,然后使用一个称为mshta.exe的HTA攻击方法。
发布时间:2019-01-15 12:20 | 阅读:150751 | 评论:0 | 标签:Web安全 Powershell

使用Empire进行黑客攻击——Empire初级指南

大家好,今天本文为大家准备的是Empire的初级指南。据官网介绍“Empire是纯PowerShell后渗透利用代理”,建立在加密的安全通信和灵活的架构之上。Empire—PowerShell后渗透利用代理Empire实现了无需powershell.exe就可以运行powershell代理的能力,可快速部署后渗透利用模块,从键盘记录器到mimikatz,还有自适应良好的通信机制来绕过网络监测,这些功能都集成在注重实用性的框架上。本教程中,我们会讲解该软件所有你需要了解的知识点,从安装到getshell,甚至是在av毫无察觉的情况下获取admin访问权限。在开始之前,你需要了解下面这4个概念。
发布时间:2018-10-29 12:20 | 阅读:171276 | 评论:0 | 标签:技术 Empire Powershell

Powershell入门必备(四)

介绍随着我们这个系列文章的逐步深入,我们就越能发现powershell的强大之处,而这种强大只会越来越明显。在本篇文章中,我们会探索如何使用powershell来操作模块。这对我们来说是学习PowerShell的一个非常有趣和重要的部分,因为它在许多任务和操作的自动化方面将会为我们提供许多帮助。使用powershell模块正如我们在前面的文章中看到的,模块是PowerShell里一个非常强大的概念。现在我们会来学习在渗透测试中如何创建和利用它们,特别是用于自动化日常任务。首先,让我们记住模块的定义。
发布时间:2018-10-08 12:20 | 阅读:194705 | 评论:0 | 标签:内网渗透 安全工具 Powershell

渗透测试神器powershell入门必备(三)–函数和脚本

介绍随着我们本系列文章的逐步深入,我们便会更加明白powershell的强大之处,本文我们就来讲解一些powershell的函数和脚本。Powershell函数基于前两篇文
发布时间:2018-09-11 12:20 | 阅读:177354 | 评论:0 | 标签:系统安全 functions Powershell scripting

如何利用日志来监控和限制PowerShell攻击活动

写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志,首先我们需要了解攻击者是如何使用PowerShell来实施攻击的,然后我们再来看一看相关的检测和防御机制。 PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。PowerShell是Windows操作系统自带的工具,因此目标Windows用户的主机中自然也就包含了这种工具。
发布时间:2017-12-09 16:35 | 阅读:213942 | 评论:0 | 标签:系统安全 powershell 日志监控

无文件攻击有多阴险 竟利用“永恒之蓝”传播挖矿机

网络罪犯不需要在你的系统里放上恶意软件就能侵入。无文件/零足迹攻击能够利用合法应用,甚至利用操作系统本身,亦或逃过白名单的检测机制,利用位于批准列表之上且已经安装到机器上的应用,进行攻击。不过,“无文件”、“零足迹”和“非恶意软件”这几个术语,从技术上讲都属于用词不准确的范畴,因为它们往往依赖用户下载恶意附件文件的行为,且确实在计算机上留下了踪迹——只要你知道该找寻什么。实际上,完全零足迹的恶意软件并不存在,因为有很多方法都可以检测出恶意软件——即便恶意软件不把自身安装到硬盘上。而且,它们并不能完全绕过反病毒工具。因为即使不安装可执行程序,反病毒工具还是可以发现恶意附件或恶意链接。
发布时间:2017-09-28 03:40 | 阅读:201283 | 评论:0 | 标签:行业动态 powershell 恶意软件 挖矿机 无文件攻击 蜜罐

PSAttack:一个包含所有的渗透测试用例的攻击型Powershell脚本框架

目前网上有很多PowerShell攻击工具,比如说著名的Windows日志杀手Invoke-Phant0m。而本文所要介绍的是一款名叫PSAttack的框架,该框架中包含有几乎所有的PowerShell攻击脚本,各位同学在进行渗透测试的过程中肯定会用到它们。 PSAttack下载地址 【PSAttackv1.9】 PSAttack介绍 PSAttack是一款开源的PowerShell脚本框架,其中包含有目前安全社区中多款最优秀的项目。
发布时间:2017-07-14 18:10 | 阅读:249821 | 评论:0 | 标签:工具 powershell ps attack

如何使用Regsvr32通过应用程序白名单

我最近的一个客户,其红队防御十分先进。该客户有严格的出口管制、边界代理、强观测及极为严格的应用程序白名单控制。我和队友都明白我们得十分卖命地从这个环境中取得命令控制,而那会是在取得物理访问之后(另一项挑战)。 进入场地前一周,我们便开始研究所有可能的应用程序白名单的通过方法。我们假定了最佳防御方案,即除特定经允许的应用外,客户封锁了所有的二进制执行进行。在与其他客户及该客户之前的测试中,我们曾使用过“rundll32. exe”来执行DLL内容。如你可以在DLL(动态链接库)中host溢出检测,并有好的入口点,那这种方法着实有用。
发布时间:2017-06-08 21:25 | 阅读:251991 | 评论:0 | 标签:技术控 powershell regsvr32 shellcode

AD ACL Scanner:一款扫描活动目录权限并自动生成报告的小工具

今天给大家介绍的是一款基于PowerShell的GUI工具,这款免费工具可以帮助我们生成HTML或CSV格式的活动目录权限报告。 工具下载 【下载地址一】 【下载地址二】 工具介绍 这款活动目录(Active Directory-AD)权限分析器的开发者为Robin Granberg(就职于微软公司),你可以从下面这张截图中看到,你根本不会注意到AD ACL Scanner是基于PowerShell开发出来的。不仅如此,你在使用它的过程中也不需要任何的PowerShell技术。
发布时间:2017-05-19 12:15 | 阅读:249710 | 评论:0 | 标签:工具 powershell 扫描

如何创建Powershell持久隐蔽后门

*本文原创作者:al0ne_,本文属FreeBuf原创奖励计划,未经许可禁止转载 用户开机后每次运行特定的快捷方式文件时触发一段恶意的powershell 代码,原始应用程序仍然启动,原始图标保留,并且没有powershell.exe窗口弹出。
发布时间:2017-05-08 21:35 | 阅读:241462 | 评论:0 | 标签:系统安全 网络安全 powershell 后门

在msf和powershell中利用hotpotato进行提权

通过类似SMB协议的NTLM认证已经被微软修补了,不过HTTP到SMB正在使用这种验证,并且还用于创建高权限服务中。因为流量包中含有NTLM凭据并且正在通过伪代理服务器,因此可以将其捕获并传递到本地SMB侦听器,作为SYSTEM权限执行任何命令。Stephen Breen在他的博客(https://foxglovesecurity.com/2016/01/16/hot-potato/)中描述了这次攻击的所有阶段。
发布时间:2017-04-18 23:35 | 阅读:272585 | 评论:0 | 标签:技术 系统安全 Powershell 提权

说说Powersploit在内网渗透中的使用

先说: 第一次写,大家轻点喷,扫扫盲… 内网环境下,我们用metasploit生成一个payload,万一运气稍微好点的,碰到了像360这些东西,我等小白是一脸懵的,这种情况下,就可以想powershell,总不会杀软连这个都要杀吧。 总之powershell + metasploit,双剑合璧,对我们来说在内网渗透中对我们还是有很大的帮助的,可以说是一个巨大的隐藏宝藏! 进入正题 一.Powershell 我们先来说说powershell,PowerShell 是运行在 Windows上实现系统和应用程序管理自动化的命令行脚本环境。
发布时间:2017-04-14 00:45 | 阅读:347475 | 评论:0 | 标签:工具 网络安全 Metasploit powershell

Metasploit、powershell之Windows错误系统配置漏洞实战提权

*原创作者:shuteer,本文属FreeBuf原创奖励计划,未经许可禁止转载 0×01 引言 我们在获得目标机一个普通的权限时,除了常规提权方法外,还可以通过查找目标主机错误的系统配置和漏洞来获取系统权限。本节所讲的“Trusted Service Paths(可信任服务路径)漏洞”和“系统服务的错误权限配置漏洞”绝对是你值得尝试的一个环节。
发布时间:2017-04-11 22:15 | 阅读:249059 | 评论:0 | 标签:系统安全 Metasploit powershell Windows提权 Windows错误系统配置漏洞 提权 漏洞

利用Powershell和ceye.io实现Windows账户密码回传

最近在研究Powershell的使用,之前我一直不习惯Windows的主要原因是他那孱弱的命令行工具,稍微了解了Powershell之后差点跪下了,真的是一款非常了不起的工具。powershell的定义是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。简单的理解就是像linux下的bash。powershell有着诸多的优点,但是仅凭无文件和操作系统自带这两大优点基本上确定了他的地位。mimikatz是一款黑客后渗透(不是提权)神器,其中一个功能是在管理员账户下获取Windows明文密码,现在也有powershell版本了。
发布时间:2017-03-14 19:10 | 阅读:214896 | 评论:0 | 标签:系统安全 powershell 账户密码回传

针对蒙古政府的攻击所使用的钓鱼技术

翻译 c4bbage 微博 http://weibo.com/s4turnus 0x00 简介 FireEye 最近观察到一个针对蒙古政府个人的复杂攻击活动,个人目标感染了载有Posion Ivy shellcode 宏的 Microsoft Word 文档。Poison Ivy 是一个非常流行的远控工具,可以key logging、屏幕录制、密码窃取、文件传输、系统管理、流量重放等。
发布时间:2017-02-26 01:55 | 阅读:259744 | 评论:0 | 标签:网络安全 applocker Microsoft Word 宏 Poison Ivy powershell 社会工程

通过Empire和PowerShell攻击JBoss

前言 当Empire在BSidesLV发布时,我立即对纯粹的PowerShell RAT攻击社区的可能性产生了兴趣。在空闲的时间,我添加了一些模块。本文将介绍如何通过通过部署Empire代理枚举和利用Web内部服务,而无需端口扫描。 演示 在本演示中,我在Windows 7主机上运行一个Empire代理。计划低调地枚举网络中易受攻击的Web服务,并利用一个横向移动。 首先,加载recon/find_fruit模块并设置所需的选项。 find_fruit模块接受CIDR范围以及单个主机。  该模块支持多线程的,默认设置为十个线程。
发布时间:2017-01-11 11:20 | 阅读:237392 | 评论:0 | 标签:Web安全 Empire jboss JMX-Console powershell PowerShell RAT

内网渗透的一些工具和平台汇总

各位老司机在日常的渗透过程中,都会有自己趁手的工具集合,有开源的有私有的,不管什么样的工具组合,能够达到最佳的渗透效果就是好工具,老司机分享一点自己在内网渗透中惯用的开源工具和平台。 渗透测试平台类 Metasploit:这个大家都不陌生了,集信息收集,预渗透,渗透,后渗透,木马,社会工程学于一体的平台,居家旅行,杀人越货之必备。 SET(Social-engineer-toolkit):主要用来做社工平台,邮件伪造,dns劫持,以及office钓鱼。 Cobaltstrike:目前来说最好用的针对windows的渗透平台,也是目前最牛逼的APT协同工作平台。
发布时间:2017-01-08 17:00 | 阅读:430167 | 评论:0 | 标签:内网渗透 cobaltstrike Empire metasploit powershell SET 内网渗透工具 内网

SAINTSEC教你玩转Metasploitable 3

Metasploitable 3不是像之前的版本那样直接下载虚拟机,而是给了两个安装脚本:build_win2008.sh、build_win2008.ps1,可以分别在Linux和Windows下面建立的Metasploitable 3镜像。有不少人说这体验很差、不会装不会玩,其实这可以让大家认识更多的知识点。
发布时间:2016-12-15 21:35 | 阅读:472417 | 评论:0 | 标签:工具 新手科普 Metasploitable Metasploitable 3 powershell

恶意软件“八月”利用powershell进行无文件感染

Proofpoint安全研究专家提醒,一种叫做“八月”(August)的新型窃取信息恶意软件正利用Windows powershell脚本进行无文件感染并通过Word文档传播。 no face hacker and binary code 这个恶意软件是由高度个性化的TA530为载体来传播的,研究者表示,“八月”传播的目标是零售商的客服、管理人员,窃取目标计算机当中的认证信息与敏感文件。 为了保证感染成功,攻击者会在邮件标题中会提到目标公司网站购物问题的参考信息。这些邮件是针对那些可以帮助解决此类问题的员工发出的,于是这些员工有很大可能性会打开内含问题描述的附件去帮助客户解决问题。
发布时间:2016-12-12 19:05 | 阅读:195013 | 评论:0 | 标签:威胁情报 powershell Proofpoint 无文件感染

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

↓赞助商 🙇🧎

标签云 ☁