记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华避免凭证转储攻击的5个技巧
在Windows设备网络上使用这五个技巧,减少企业组织遭受凭证转储攻击的漏洞风险。
凭证转储是攻击者永久获取网站访问的一项重要技术。他们通过网络钓鱼潜入工作网站后,利用管理员管理和监视网络的常用方法来获取公开凭据。
一、减少凭证重用
首先,查看自己的网络管理。因工作之外的任务登录了多少次网络?网络账户密码重复登录了多少次?
NIST建议企业定期检查自己的密码是否在公开的密码数据库里。如果在网络上使用过的密码出现在密码泄露列表中,都会使用户的网络更容易受到攻击。
Troy Hunt发布了一个数据库,包含了超过5亿个被盗用的密码。用户可以使用各种资源将这些暴露的密码与自己网络中使用的密码进行比较。例如,用户可以使用密码过滤器以查看网络上正在使用的密码。然后依据组策略给这些密码做专门的核查。
MassDNS:一款功能强大的高性能DNS子域名查询枚举侦察工具
MassDNS是一款功能强大的高性能DNS stub解析工具,它可以帮助研究人员解析数百万甚至上亿个域名。在没有特殊配置的情况下,MassDNS可以利用公共可用的解析器每秒钟解析超过350000个域名。
项目编译
首先,使用下列命令将MassDNS源码克隆至本地目录中:
git clone https://github.com/blechschmidt/massdns.git
使用cd命令切换到本地项目目录中:
cd massdns
接下来,运行”make”命令构建源码。
如果你使用的不是Linux操作系统,那么则需要运行下列命令:
make nolinux
在Windows平台下,你还需要安装Cygwin包、gcc-core、git和make。
工
攻击者利用Windows远程桌面服务进行无文件攻击
研究人员发现攻击者开发的恶意软件开始利用远程桌面协议(RDP)协议来窃取企业数据,并且不在目标主机上留下痕迹。加密货币挖矿机、信息窃取器、勒索软件等使用远程连接可以在RAM中运行,也可以从被黑的机器中窃取有用的信息。利用Windows RDS特征攻击者利用了Windows 远程桌面服务(RDS)中的一个特征,允许客户端分享本地驱动给有读写权限的Terminal Server。驱动在服务器上以名为tsclient+驱动盘字母的虚拟网络位置的共享,而且可以本地映射。这些特征已经出现一段时间了,当用户连接到服务器,并以应用的形式运行时的动作就可以解释了。这种通过RDP来访问资源是可行的,而且不会在客户端机器的硬盘上留下痕迹,
Windows 安全描述符审计方法探究:审查事件日志安全性
在获得对系统的访问权限后,对于尚未提升特权的攻击者,系统会授予什么级别的访问权限呢?与其在主机上进行试验,最终被系统提示拒绝访问,并在测试过程中会产生嘈杂的日志,不如选择一个更好的策略,那就是首先了解 Windows 授予非特权用户的权限。在 Windows 中,几乎所有的访问权限都由安全描述符控制。 本文的目标就是建立一种审计方法,用于暴露由安全描述符错误配置的潜在风险。 在建立方法之后,我们将把它应用到一个实际的用例中: 在Windows 事件日志中,哪些潜在的可滥用访问权限被授予给了无特权组? 为了回答这些问题,我们应该定义如下两点:· 什么是错误配置?· 什么是“可滥用的”访问权限?在回答这
实现Windows进程注入的7种新方法
简介在这里,我们主要对@hexacorn上周发布的代码注入/进程注入相关的文章进行进一步的分析。在上周,@hexacorn提出了7种新型的攻击方式,以“粉碎式攻击”的方法来实现代码注入或重定向。在本文中,我们将具体讨论这些新型注入方法,并提供一些可用的示例。前五种方法的示例都将使用“Edit”和“Rich Edit”控件,最后两个则使用SysListView32和SysTreeView32。关于Rich Edit控件要进行新型注入方法的尝试,我们可以选择遍历所有窗口,例如EnumWindows,从窗口句柄中检索类的名称,然后将字符串的开始部分与“RICHEDIT”进行比较。除了这种方法之外,我们还可以使用FindWin
如何在Windows上重现macOS上的取证技巧
当你执行Apple iCloud提取时,虽然无所谓是在Windows还是在macOS平台。但仍然有些差异,因为macOS具有更好或本机iCloud支持。虽然逻辑提取也可以在任何平台上完成,但是,当使用Elcomsoft iOS Forensic Toolkit进行越狱设备的完整文件系统提取时,强烈建议使用macOS。但是,如果你擅长于使用Windows,那么接下来我们就会给你讲解一些关于如何在Windows上重现macOS上的取证技巧。启动工具包首先,即使你以管理员身份登录系统,也必须以管理员权限启动工具包。这个过程非常简单:只需在资源管理器中找到主程序脚本(Toolkit.cmd),右键单击它,然后选择“以管理员身份
使用公共语言运行时获取持久性(下)
上篇文章,虽然我们已经知道可以重写的方法和属性,以及如何更改CLR使用的默认应用程序域管理器。今天,我们就来继续说说如何将实现System.AppDomainManager的强名称程序集安装到GAC中,并最终实现使用公共语言运行时获取持久性。程序集和全局程序集缓存如上所述,必须将实现System.AppDomainManager的强名称程序集安装到GAC中,但是,仍有很多问题,比如:1.什么是程序集?2.什么是全局程序集缓存(GAC)?3.为什么以及如何将强名称程序集安装到GAC中?对于.Net Framework,程序集是一个单元,每个程序集都可以包含MSIL代码、类型、资源和清单。所有这些数据可以分组到一个文件(例
对滥用Windows特权文件操作的研究(下)
上文我们对特权文件操作的原理和可能发生漏洞的地方,进行了理论上的分析。本文我们接着将对象管理器(ObjectManager)符号链接以及漏洞利用的示例和思路。对象管理器(ObjectManager)符号链接对象管理器是一个执行体的子系统,所有其他的执行体子系统,特别是系统调用必须通过它来获得对WindowsNT资源的访问,这使得对象管理器成为资源管理的基础设施。对象管理器用来避免在其他子系统中管理资源带来的冗余与不安全。在对象管理器视角,每个资源都是一个对象,不论是物理资源(如文件系统或外设),还是逻辑资源(如一个互斥锁)。虽然NTFS确实提供了文件系统符号链接,但是在Windows上,没有特权的用户不能在文件系统上创
对滥用Windows特权文件操作的研究(上)
本文介绍了如何滥用Windows上的特权进程执行文件,来实现本地权限升级(从用户升级到管理员/系统权限)。除此之外,我还介绍了利用这类漏洞的可用技术、工具和具体过程。特权文件操作漏洞以高权限运行的进程会对所有进程中执行的文件执行操作,这意味着,当高权限进程在没有足够预防措施的情况下,可以访问用户控制的所有文件或目录。因此,从理论上说,这就是一个安全漏洞,因为恶意攻击者有可能会滥用该特权进程执行的操作,使特权文件做一些不应该做的事情。对于许多特权访问用户控制的资源的情况都是如此,文件只是一个简单的目标。在渗透测试中,大家熟知的示例包括用户可写的服务可执行文件和DLL劫持漏洞,如果你对特权服务将执行的文件具有写入权限,或者
Windows内核逻辑漏洞:IO管理器访问模式不匹配
概述本文深入介绍了Windows内核中一个有趣的逻辑漏洞,以及我与Microsoft的合作伙伴共同修复的过程。如果内核和驱动程序的开发人员在访问设备对象时未考虑IO管理器的操作方式,那么漏洞所产生的最大影响将会是本地权限提升。本篇文章重点说明了我发现漏洞的过程,并详细分析了技术背景。关于进一步调查的更多信息、修复方式和如何避免使用漏洞类编写新代码,可以参考MSRC的博客文章。技术背景我在尝试对Issue#779进行漏洞利用时,偶然发现了这个存在漏洞的类。该问题是一个文件TOCTOU绕过了自定义字体加载的缓解策略。在Windows 10中,引入了缓解策略,以限制可利用字体内存损坏漏洞的影响。通常,可以轻松使用文件和对象管
Google白帽发现Windows bug
Google Project Zero白帽研究员James Forshaw发现位于Windows kernel模式驱动中的漏洞,利用该漏洞可以进行权限提升。该漏洞是由于处理特定请求时缺乏必要检查导致的。Windows使用PreviousMode域来设置UserMode或KernelMode,然后确定调用的参数是否来源于可信源。该机制也用于文件创建和打开,kernel模式代码可以从不同的API函数中选择,包括到I/O管理器内部函数IopCreateFile的函数。在这种情况下,PreviousMode会被分配一个特定的变量来确定是否检查有效的参数和缓存。操作系统使用该变量进行设备对象的检查,即是否是UserMode。Io
如何在Windows AppCotainer中创建进程
概述AppContainer是通常用于UWP进程(也称为Metro、Store、Modern)的沙箱。AppContainer中的进程以低完整性级别(Intergrity Level)运行,这实际上意味着它几乎无法访问所有内容,因为对象(例如:文件)的默认完整性级别为中。这意味着,在AppContainer内运行的代码由于缺乏访问权限,而无法对系统产生任何重大的损害。此外,从对象管理器的角度来看,AppContainer创建的命名对象基于称为AppContainer SID的标识符,存储在其自身的对象管理器目录下。这意味着,一个AppContainer不能干扰另一个对象。例如,如果不在AppContainer中的进程,
多种降低Windows运行速度的操作方法
前言最近我在研究VirtualAlloc时,碰到了一个新问题。如果你在这个函数中使用了错误的标志,那么,根据你分配的内存大小,Windows运行速度可能会比平时慢1000倍,甚至可能更糟。VirtualAlloc是一个Windows API函数,该函数的功能是在调用进程的虚地址空间,预定或者提交一部分页面。简而言之就是申请内存空间,用于低级内存分配。它允许你保留虚拟地址空间区域,并在这些区域内提交页面。我最近收到了一份客户的反馈报告,说在一台内存非常大的服务器上运行应用程序时,设备的启动速度反而比在内存小的设备上要慢得多。具体来说,就是当内存升级到288GB时,启动时间反而从平时的3分钟增加到了25分钟。后来在分析中,
微软安全服务标准
我们致力于保护客户免受软件、服务和设备漏洞的侵害,包括提供安全更新和指导,以便在向微软报告漏洞时,能够解决漏洞。我们还希望在我们的方法中,对安全研究人员和我们的客户保持透明。这篇文章旨在描述微软安全响应中心(MSRC)的标准——一个对当前windows最新支持版本造成影响的已知漏洞,能否被当前服务或者是下一版本的Windows解决。对于Windows中的漏洞,服务采取安全更新或适用指导的形式,它一般是在周二(每月的第二个周二)更新时发布。安全服务标准微软在评估是否应该为这个漏洞提供安全更新或指导的使用标准时,会考虑答两个关键问题:1、漏洞是否违反了安全边界或安全特性的目标或意图?2、漏洞的严重性是否符合维护标准?如果这
Windows进程注入:额外的窗口字节
介绍Extra Window Bytes,额外的窗口字节,这种注入方法因在2013年左右出现的Powerloader恶意软件中使用而闻名。没有人确切知道它何时首次用于进程注入,因为自80年代末90年代初以来,被特性已成为Windows操作系统的一部分。Extra Window Bytes的索引零可用于将类对象与窗口相关联。使用SetWindowLongPtr将指向类对象的指针存储在索引零处,并且可以使用GetWindowLongPtr检索一个指针。第一次提到使用“Shell_TrayWnd”作为注射载体可以追溯到WASM论坛上一个名为“Indy(Clerk)”的用户的帖子,在2009年左右有一些关于它的讨论。图1显示了
Windows进程注入:如何将有效负载部署到目标进程的内存空间中执行
介绍本文的目的是探讨如何将有效负载部署到目标进程的内存空间中执行。可以使用传统的Win32 API完成该任务,大家对Win32 API已经比较熟悉。但是也有可能创造性的使用非传统的方法,例如,我们可以使用API执行它们最初不打算执行的读写操作,这可能有助于规避检测。有许多种方式部署和执行有效负载,但不是所有的方法用起来比较简单。首先关注的是传统的API,尽管它相对较容易检测,但在威胁行动者中仍然很流行。下面是sysinternals提供的VMMap屏幕截图,显示了我将要处理的系统(Windows 10)的内存类型。该内存的某些部分可能用于有效负载的存储。分配虚拟内存每个进程都有自己的虚拟地址空间。进程之间存在共享内存,
公告
九层之台,起于垒土;黑客之术,始于阅读