记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华【漏洞通告】 Windows win32k本地提权漏洞 CVE-2021-38639
漏洞名称 : Windows win32k本地提权漏洞 CVE-2021-38639组件名称 : win32kfull.sys、win32kbase.sys、win32k.sys影响范围 :Windows 10 Version 1607/1809/1909/2004
微软发布针对主动利用的 Windows 零日漏洞的补丁
在苹果和谷歌推送紧急安全更新之后的第二天,微软亦推送了9月的“星期二补丁”,用以修复威胁window及组件的66处漏洞,包括Azure, Office, BitLocker, and Visual Studio等,其中包括一个于上周曝光的 MSHTML 平台中积极利用零日漏洞。在这66个漏洞中,3个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余均被评为“important”(重要)。这些不包括该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20个漏洞。
Windows系统安全 | IPC$共享和其他共享(C$、D$、Admin$)
谢公子学安全 Author 谢公子 谢公子学安全 . 分享本人学习信息安全路上的一些经验和笔记,有错误之处大家可以指出来,大佬请绕路 目录常见共享命令I
Windows RDP协议 Fuzzing 漏洞挖掘研究
0x01 基本介绍本文描述了我在Fuzzing Windows RDP 客户端和服务端方面所做的一些尝试和挑战,以及Crsahs分析。Microsoft 的远程桌面协议 (RDP) 持续受到安全社区的关注。从 2019 年发现的几个可能危及数百万面向互联网的服务端的关键漏洞,到RDP 被攻击者用作主要的初始访问向量之一。我对这个目标最初的兴趣是与 VM 相关的。因为连接到 Azure Windows 机器或 Hyper-V 虚拟机的默认方式是 RDP,所以我认为 RDP 是比较重要的目标。
蓝队自检工具 -- WindowsVulnScan
一、下载地址(原作者):https://github.com/chroblert/WindowsVulnScan二、使用方法1、搜集目标主机上的漏洞,以管理员身份打开cmd,进入到windowsvulnscan目录2、
发布时间:2021-09-15 11:06 |
阅读:1663 | 评论:0 |
标签:windows
Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施
最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。
【收藏】Windows服务器巡检的重要性,附脚本!
加群交流在后台回复“加群”,添加小编微信,小编拉你进去后台回复“724”获取入门资料上次分享了Linux的信息收集脚本,有小伙伴说实际环境中还有不少Windows的机器,今天给大家分享个Windows服务器信息收集脚本以及使用方法,详见下面具体信息。【收藏】Linux服务器巡检的重要性,附脚本!前言:windows服务器是系统重要的业务运行平台,对服务器进行巡检能够及时发现服务器的隐患,以便于改善和优化服务器的性能;观察服务器的运行状况,及时对设备进行调整,保证服务器的24小时不间断的工作;以及采集网内服务器信息。
发布时间:2021-09-14 11:05 |
阅读:2711 | 评论:0 |
标签:windows
Windows安全日志分析
0x00 引言在应急响应初步阶段,我们会对系统日志、中间件安全日志、恶意文件等进行收集。接下来便是要进一步对这些文件进行分析:对恶意文件逆向、日志文件分析、梳理入侵时间线和入侵路径等。本文主要对Windows安全日志进行举例分析。
CVE-2020-0787 Windows 全版本 本地提权
#漏洞 ,5个 概述CVE-2020-0787 BITS任意文件移动漏洞从HTTP Web服务器和SMB文件共享下载文件或将文件上传到HTTP Web服务器和SMB文件共享。BITS将考虑传输成本以及网络使用情况,以便用户的前台工作影响尽可能小即使重新启动后,BITS也可以处理网络中断,暂停并自动恢复传输。
实战|等保2.0 Windows主机测评过程
请点击上面 一键关注!本文作者:默定 内容来源:FreeBuf.COM以下测评过程以Windows server 2012R2 举例,按照等保2.0三级要求测评。主要命令:netplwiz,lusrmgr.msc,secpol.msc,eventvwr.msc,gpedit.msc,services.msc-cmd: netstat -an,net share,firewall.cpl,appwiz.cpl一、身份鉴别a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。
研究人员如何使用Injector实现Windows下的内存注入
关于InjectorInjector是一款功能齐全且强大的内存注入工具,该工具集成了多种技术,可以帮助红队研究人员实现在Windows系统下的内存注入。Injector能做什么?针对远程服务器和本地存储提供Shellcode注入支持。只需指定Shellcode文件,该工具将帮助我们完成后续的所有事情。默认情况下,工具会将Shellcode注入至exe,如果没有找到目标进程,它将会创建一个记事本进程,并注入其中实现持久化感染。支持反射DLL注入,工具将下载DLL并注入远程进程。通过exe实现进程镂空。使用-bypass参数,以支持使用更高级的、未记录的API来进行进程注入。
CVE-2021-40444:Windows MSHTML 0day漏洞利用
研究人员发现Windows MSHTML 0day漏洞利用,微软发布预防措施。近日,多个安全研究人员向微软分别报告了MSHTML中的一个0 day远程代码执行漏洞。并发现了该漏洞的在野利用攻击活动。MSHTML是Windows中用来渲染web页面的软件组件。虽然主要与IE相关,但也用于其他版本,包括Skype、Outlook、Visual Studio等。CVE-2021-40444研究人员在MSHTML中发现的0 day漏洞CVE编号为CVE-2021-40444,cvss评分为8.8分。由于MSHTML 是IE的核心之一,该漏洞也存在于IE浏览器中。
Windows MSHTML远程代码执行漏洞风险通告更新,腾讯安全支持全面检测拦截
#漏洞 ,39个 长按二维码关注腾讯安全威胁情报中心微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高。腾讯安全已捕获在野利用样本,腾讯安全全系列产品已支持对该漏洞的恶意利用进行检测拦截。建议Windows用户警惕来历不明的文件,避免轻易打开可疑文档。1漏洞详情2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。攻击者通过使用特制的Office文档来利用此漏洞,攻击者制作恶意ActiveX控件,欺骗说服目标用户打开恶意文档。
微软承认Windows存在可被恶意Office文件攻击的零日漏洞
更多全球网络安全资讯尽在邑安全微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。该公司解释说:"那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。
微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞
微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。
该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。
Windows MSHTML远程代码执行漏洞风险通告,已有在野利用,官方暂无补丁
#漏洞 ,38个 长按二维码关注腾讯安全威胁情报中心微软官方发布风险通告,公开了一个有关Windows MSHTML 的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,该漏洞风险为高,已检测到在野利用。腾讯安全专家建议用户警惕来历不明的文件,避免轻易打开文档而中招。1漏洞描述2021年9月8日,微软官方发布风险通告,公开了一个有关Windows MSHTML的远程代码执行漏洞。有攻击者试图通过使用特制的Office文档来利用此漏洞,攻击者制作恶意ActiveX控件,欺骗说服目标用户打开恶意文档。
应急响应之windows入侵排查篇
应急响应(Incident Response Service,IRS)是当企业系统遭受病毒传播、网络攻击、黑客入侵等安全事件导致信息业务中断、系统宕机、网络瘫痪,数据丢失、企业声誉受损,并对组织和业务运行产生直接或间接的负面影响时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,同时分析入侵原因、还原入侵过程、评估业务损失、溯源黑客取证并提出解决方案和防范措施,减少企业因黑客带来的相关损失。本文主要讨论windows被入侵后的排查思路。
Windows身份认证
本文来自宽字节安全第一期学员Demia投稿。第二期线下培训预计十一月底开班,欢迎咨询。这里的叙述,从一个用户开机并使用账号密码登录开始。启动Windows操作系统。用户张三使用其账号密码code/code登录Windows 10操作系统。
发布时间:2021-09-07 19:04 |
阅读:7416 | 评论:0 |
标签:windows
Windows 11 值得升级吗?
一、前言:Windows 11 想说爱你不容易微软曾经说过,Windows 10会永远做下去,基于系统即服务的概念,不断进行更新迭代,但是6年来,每年两次的大更新做法褒贬不一,不可否认的是让很多用户疲于更新,而且微软的更新质量也越来越堪忧。最终,微软还是“违背祖训”,宣布了新一代Windows 11,或者说本质上就是Windows 10的深度加强版,其实最初规划也就是Windows 10 21H2。无论来历如何,Windows 11的变化还是相当大的,从安装到使用都有诸多不同之处,尤其是新的UI界面、操作中心、文件管理器、小工具、兼容安卓APP等等,都吸引了很多用户关注。
发布时间:2021-09-07 08:24 |
阅读:9157 | 评论:0 |
标签:windows
恶魔化身:新型勒索BlackMatter Windows和Linux通吃
自今年第二季度开始,DarkSide和REvil先后在美犯下大乱,在美俄联手下,纷纷偃旗息鼓,REvil更是一度关闭了相关网站和服务器。而在7月,一款名为BlackMatter的新型勒索病毒横空出世,本以为是”平平无奇“的新人,但是经过海内外安全人员分析确认,该新型勒索竟与REvil和DarkSide有着很强的关联性。/深信服千里目实验室曾对这个病毒家族做过跟踪报道/根据深信服终端安全团队的调查发现,此勒索病毒的开发团队为BlackMatter开发了windows版本和linux版本。Windows版本针对的是windows server以及windows7+。
Windows Pool OverFlow漏洞利用
作者:360 Vulcan Team 晏子霜原文链接:https://vul.360.net/archives/83 前言:2021 年 4 月 14 日至 15 日,卡巴斯基技术检测到一波针对多家公司的高度针对性攻击。更仔细的分析表明,所有这些攻击都利用了一系列 Google Chrome 和 Microsoft Windows 零日漏洞(CVE-2021-31956)。
无穷无尽!微软警告另一个未修补的Windows Print Spooler RCE漏洞
在发布星期二补丁更新的第二天,微软表示Windows Print Spooler组件中的另一个远程代码执行漏洞(RCE),并补充道正在努力在即将发布的安全更新中修复该问题。 被追踪为CVE-2021-36958(CVSS 评分:7.3),这个未修复的漏洞是最近几个月被曝光的PrintNightmarebug列表中最新的一个。埃森哲安全公司人员因报告了该漏洞,他表示该问题已于2020年12月向微软披露。 该公司在其公告中表示:“当Windows PrintSpooler服务不当执行特权文件操作时,就会存在远程代码执行漏洞。”该公告重复了CVE-2021-34481的漏洞细节。
安全防护之Windows活动目录中的LDAP
网安教育培养网络安全人才技术交流、学习咨询01LDAP基础概念条目(Entry)一个条目有若干个属性,每一个属性应对一个或多个值,有些条目可以包含若干个子条目。这里使用Active Directory Explorer连接一个域环境进行展示:其中 DC=domain.16,DC=local 以下(包含本身),都是条目,每一个条目点开都拥有N个属性名和属性值,右侧密密麻麻的就是属性名和属性值。识别名(Distinguished Name, DN)它表示条目在LDAP目录树中从根出发的绝对路径,是条目的唯一标识。
Windows提权信息收集思路与命令汇总
#网络安全 ,9 #红蓝对抗 ,10 #windows提权 ,2 #命令执行 ,1 0x01 Windows 提权信息收集思路与简单命令1.操作系统的名称和版本信息systeminfo | findstr /B /C:"OS Name" /C:"OS Version"systeminfo | findstr /B /C:"OS 名称" /C:"OS 版本"2.主机名称和所有环境变量主机名称:hostname 命令。环境变量:SET 命令。3.查看用户信息查看所有用户:net user或net1 user命令。
Razer Synapse 0 day漏洞可获得Windows 10管理员权限
Razer Synapse 0 day漏洞,插入Razer鼠标即可获得Windows 10管理员权限。Razer 是一家知名的游戏设备品牌厂商,提供的产品包括游戏鼠标和键盘。在Windows 10或Windows 11中插入Razer设备后,操作系统会自动下载和安装Razer Synapse软件。Razer Synapse软件是一款配置硬件设备、设备宏和映射按键的软件。Razer称Razer Synapse软件的用户量超过1亿。研究人员在Razer Synapse中发现了一个0 day安全漏洞,攻击者利用该漏洞只需插入Razer鼠标或键盘即可获得Windows管理员权限。
Windows Defender网络检查驱动逆向分析研究
本篇主要是介绍了 Windows Defender 如何通过使用 WFP(Windows 过滤平台)在内核中实现其网络检查功能,设备对象的安全描述符如何保护WFP免受潜在漏洞的影响,并详细介绍了我发现的一些漏洞。Windows过滤平台(Windows Filtering Platform,缩写WFP):是微软操作系统中的一套系统服务和应用程序接口,于2006年至2007年在Windows Vista中首次引入。它允许应用程序绑定到包处理环节,过滤TCP/IP协议栈的流水线数据包。
Razer Windows外设驱动安全漏洞已波及SteelSeries
更多全球网络安全资讯尽在邑安全几天前,安全研究人员 jonhat 曝光了存在于 Razer Synapse 软件中的一个零日漏洞,或被攻击者用于在本机获得 SYSTEM 级别的管理员账户权限。极端情况下,攻击者只需购买一只几十元的 Razer 鼠标即可得逞。不出所料的是,该漏洞同样影响到了包括赛睿(SteelSeries)在内的其它 PC 外设制造商。视频截图(via @zux0x3a)利用 LPE 漏洞,攻击者可通过在 Windows 10 / 11 PC 上插入键鼠等外设时,等待系统自动下载安装实用工具软件时,轻松达成本地账号提权的目的。
【安全风险】Windows配置不当可能导致被攻击者恶意关机/重启或用户账户泄露
近期团队小伙伴在进行全网RDP回扫时发现几个有意思的现象建议企业针对自身进行排查在大于等于Windows Server 2012版本的服务器中,有部分存在配置不当,导致在RDP登录界面出现了关机/重启按钮,可能导致被攻击者恶意关机/重启服务器,对业务造成破坏。如下图:解决方案:打开“本地组策略编辑器”——“计算机配置”——“Windows设置”——“安全设置”——“本地策略”——“安全选项”中找到“关机:允许系统在未登录的情况下关闭”还有部分配置不当,导致在RDP登录界面出现了主机上的所有用户账号,导致攻击者可以定向针对其他用户进行口令爆破或碰撞攻击。
雷神漏洞可通过接入鼠标控制Windows 10电脑
近日推特上披露了Razer Synapse零日漏洞,该漏洞只需要简单接入雷神鼠标或键盘即可获得Windows管理员权限。雷神是一家非常受欢迎的电脑外置设备制造商,以其游戏鼠标和键盘而出名。在Windows 10 或 Windows 11 电脑上接入雷神设备时,操作系统会自动在电脑上下载并开始安装Razer Synapse软件。Razer Synapse是一款允许用户配置硬件设备、设置宏或映射按钮的软件。雷神声称他们的Razer Synapse软件被全球超过1亿用户使用。
Windows注册表运行键安全攻防指南
Windows注册表是一个庞大而复杂的话题,因此,我们根本不可能通过一篇文章讲清楚。然而,从安全的角度来看,一个特别值得关注的领域是注册表运行键。在这篇文章中,我们将探讨谁在使用运行键,如何发现该键的滥用情况,以及如何根除系统中的恶意运行键。运行键简介什么是注册表运行键?运行键是注册表的一种开机运行机制:当用户登录或机器启动时,在Windows系统上执行一些程序。由于运行键很容易引发安全问题,所以,它自然会成为攻击者的研究对象。例如,Fancy Bear(也被称为APT28)、TA456和Group 123都喜欢用运行键来实现对被攻击网络的权限维持。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤