记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华勒索软件团伙使用泄露的勒索软件代码攻击 Windows、Linux 系统
一个新的勒索软件操作名为“Bhuti”,使用 LockBit 和 Babuk 勒索软件家族的泄露代码分别针对 Windows 和 Linux 系统进行攻击。虽然 Buhti 背后的威胁行为者(现在被称为“Blacktail”)尚未开发出自己的勒索软件,但他们创建了一个自定义数据渗漏实用程序,用于勒索受害者,这种策略被称为“双重勒索”。Buhti 于 2023 年 2 月首次被 Palo Alto Networks 的Unit 42 团队发现 ,该团队将其确定为基于 Go 的以 Linux 为目标的勒索软件。
Windows XP 正版密钥算法被破解:随意离线激活
Windows XP,曾经风靡全球的操作系统,在发布 22 年后再次成为热门话题。最近,在黑客社区中出现了一个名为 xp_activate32.exe 的工具,宣称能够生成 Windows XP 的有效激活码。据知情人士透露,这个工具已成功将微软用来验证 Windows XP 正版密钥的算法逆向工程,并可在离线状态下实现激活。然而,微软已于多年前关闭了所有 Windows XP 在线激活服务器,因此这个工具的实际意义已经不大。此外,微软早已停止对该操作系统的支持,包括关闭自带的 IE 浏览器,升级到 IE8 后也不再允许访问微软官方网站等。
技术研究 – 从零开始学习 DLL 劫持
以下文章来源于亿人安全 ,作者Hyyrent
DLL 劫持
DLL 简介
在 Windows 中,许多应用程序并不是一个完整的可执行文件,它们被分割成一些相对独立的动态链接库,即 DLL 文件,放置于系统中。当我们执行某一个程序时,相应的 DLL 文件就会被调用。一个应用程序可使用多个 DLL 文件,一个 DLL 文件也可能被不同的应用程序使用,这样的 DLL 文件被称为共享 DLL 文件。
将Windows与ChatGPT彻底打通,微软即将引入AI助理
再过不久,AI即将迎来一次新的进化,不再局限于回答问题。5月23日,微软在其年度Build开发者大会上宣布,将在Windows 11中引入一个名为Windows Copilot的人工智能助手,打造首个提供集中式AI辅助功能的PC平台。Windows Copilot是一个集成在操作系统中的侧边栏工具,旨在协助用户高效完成各种任务。大家可以通过以下实例感受其所带来的便捷性:1、集成到系统之中的人工智能助手。如果用户询问Windows Copilot“如何调整系统以便更好地工作”,它就会给出相应的建议供用户选择,用户只需点击“yes”,系统就会一键应用该设置。
关于Windows提权小结
Windows内核溢出漏洞提权Windows内核溢出漏洞提权通过系统本身存在的一些漏洞,未曾打相应的补丁而暴露出来的提权方法,依托可以提升权限的EXP和它们的补丁编号,进行提升权限说白了,就是信息收集,收集一下看看有没有一些没有打补丁的历史漏洞。使用Metasploit信息收集post/windows/gather/enum_applications 查看系统可能存在的可以利用的漏洞post/windows/gather/enum_patches 查找系统中的补丁信息。但是我这里报错了,应该是系统问题。
腾讯云windows使用tracetcp进行目标IP tcp 端口路由追踪
前言 有时候我们购买腾讯云服务器轻量应用服务器无忧计划_轻量应用服务器续费同价-腾讯云 (tencent.com) 后在某些地域或者是使用移动数据网络无法访
Windows MSHTML Platform安全特性绕过漏洞 (CVE-2023-29324) 安全风险通告
MSHTML是微软公司的一个COM组件,该组件封装了HTML语言中的所有元素及其属性,通过其提供的标准接口,可以访问指定网页的所有元素。近日,奇安信CERT监测到Windows MSHTML Platform 安全特性绕过漏洞(CVE-2023-29324),在Windows MSHTML中,由于Windows处理路径函数CreateUri 错误的转换了某些路径,导致攻击者可以构造恶意路径绕过CVE-2023-23397 Microsoft Outlook权限提升漏洞防护措施。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
微软修复Windows 10/Windows 11上BlackLotus UEFI漏洞
ESET 安全研究人员于今年 3 月发现了 BlackLotus,被认为是首个可以在 Win11 系统上绕过 Secure Boot 的 UEFI bootkit 恶意软件。微软于今天面向 Win10、Win11、Windows Server 发布了 KB5025885 更新,重点修复了这个追踪编号为 CVE-2023-24932 的漏洞。IT之家附微软官方摘要信息如下:本文介绍如何使用由 CVE-2023-24932 跟踪的 BlackLotus UEFI bootkit 来防止安全启动安全功能绕过公开披露,以及如何启用保护和指南来更新可启动媒体。
From One Vulnerability to Another: Outlook Patch Analysis Reveals Important Flaw in Windows API
Editorial and additional contributions by Tricia HowardExecutive summaryAkamai researcher Ben Barnea found a new important vulnerability in an Internet Explorer component, assigned CVE-2023-29324 wi
威胁情报信息分享|APT28针对乌克兰政府实体发出伪造的“Windows更新”电子邮件
乌克兰计算机紧急响应小组(CERT-UA)警告称,俄罗斯APT黑客组织针对该国各种政府机构进行网络攻击。该机构将这场钓鱼活动归因于APT28,该组织还被称为Fancy Bear、Forest Blizzard、FROZENLAKE、Iron Twilight、Sednit和Sofacy。这些电子邮件以“Windows更新”为主题,并声称用乌克兰语包含在安全更新的借口下运行PowerShell命令的指示。运行该脚本会加载并执行下一阶段的PowerShell脚本,该脚本通过使用tasklist和systeminfo等命令收集基本系统信息,并通过HTTP请求将详细信息发送到一个Mocky API。
Windows HTTP.sys权限提升漏洞 (CVE-2023-23410) 安全通告
Microsoft Windows HTTP 协议栈(HTTP.sys)是一个位于Windows操作系统中核心组件,常见于应用之间或设备之间通信,以及Internet Information Services (IIS)中。近日,奇安信CERT监测到Windows HTTP.sys 权限提升漏洞(CVE-2023-23410)的细节和POC已在互联网上公开,由于HTTP.sys在拷贝ServiceName时存在整数溢出漏洞,攻击者可以构造恶意程序触发该漏洞,成功利用此漏洞可实现权限提升或拒绝服务。目前,奇安信CERT已成功复现此漏洞。鉴于此漏洞影响较大,建议客户尽快做好自查及防护。
一个Windows平台下既可以满足安服仔日常渗透工作也可以批量刷洞的工具盒子
项目地址https://github.com/givemefivw/SecurityServiceBox0x00 更新·题外话—终端选取在盒子的tools当中,很多工具运行都是带有颜色标识的,例如nuclei, vulmap,原生的cmd终端虽然方便快捷,但因为平台环境的不同导致运行时颜色选项显示成一堆杂乱的字符,十分影响观感。所以说下题外话供参考。自从微软更新了Windows Terminal之后,将其替换默认cmd都是最好的选择,但是很可惜替换默认的功能仅适用于Win11和Win10的特定版本,而不满足的版本无法通过Terminal的设置替换默认cmd。
【勒索防护】MSI 等多个企业已遭受攻击!MoneyMessage 勒索软件突现
恶意文件名称:
MoneyMessage
威胁类型:
勒索软件
简单描述:
MoneyMessage是一款横跨Linux和Windows的双平台勒索软件。该组织在部署勒索软件前,会窃取用户的私人数据,MSI 等多个企业的数据也已遭泄露。
恶意文件分析
事件描述
深信服深盾终端实验室在近期的运营工作中捕获了 MoneyMessage 勒索病毒,通过关联分析发现该样本最早出现于2023年3 月。截至发文,从全球范围来看,已有多个受害者公开披露其遭受了MoneyMessage勒索病毒的攻击,其中不乏大型公司。
Nokoyawa零日勒索软件攻击Windows
2023年2月,卡巴斯基技术公司在中东、北美和之前的亚洲地区的中小型企业的Microsoft Windows服务器上检测到多次试图执行类似的权限提升攻击。这些漏洞与我们之前分析的已知通用日志文件系统(CLFS)驱动程序漏洞非常相似,但我们决定再次检查,这是值得的。其中一个漏洞被证明是零日漏洞。他支持不同版本的Windows,包括Windows 11。该漏洞被高度混淆,其80%以上的代码被优雅地“垃圾”编译成二进制文件,但我们很快完全逆转了它,并向微软报告了我们的发现。
AV/EPP/EDR Windows API hook list
CrowdStrike_EPP_EDRHooks redirect to "EDR hooking.dll" >> umppc*****.dll for example umppc16606.dll>>Hooks in ntdll.dll<<[-] NtDeviceIoControlFile [
okoyawa零日勒索软件攻击Windows
目录 :1.特权提升利用2.后期利用和恶意软件3.结论4.妥协的标志2023年2月,卡巴斯基技术公司在中东、北美和之前的亚洲地区的中小型企业的Microsoft Windows服务器上检测到多次试图执行类似的权限提升攻击。这些漏洞与我们之前分析的已知通用日志文件系统(CLFS)驱动程序漏洞非常相似,但我们决定再次检查,这是值得的。其中一个漏洞被证明是零日漏洞。他支持不同版本的Windows,包括Windows 11。该漏洞被高度混淆,其80%以上的代码被优雅地“垃圾”编译成二进制文件,但我们很快完全逆转了它,并向微软报告了我们的发现。
如何防止微软OneNote文件使Windows感染上恶意软件?
看似无害的微软OneNote文件现已成为了黑客们用来传播恶意软件、闯入公司网络的一种流行文件格式。本文介绍了如何阻止恶意的OneNote网络钓鱼附件感染Windows。为了了解微软OneNote文件如何成为分发恶意软件的网络钓鱼攻击的首选工具,我们先要解释背景知识。年来,威胁分子一直在滥用微软Word文档和Excel文档中的宏,在Windows设备上下载并安装恶意软件。在微软终于默认禁用了Word和Excel Office文档中的宏之后,威胁分子开始转而将目光投向其他不太常用的文件格式来分发恶意软件,比如ISO文件和受密码保护的ZIP压缩文件。
Windows 系统曝高危漏洞,数十万个系统面临风险
安全研究人员和专家警告称,Windows 消息队列 (MSMQ) 中间件服务中存在一个高危漏洞 CVE-2023-21554。利用该漏洞,攻击者能够在无用户交互的情况下实现远程代码执行,进而接管服务器资源。Windows 消息队列 (MSMQ) 在所有Windows版本里都可用,主要用于为应用程序提供“消息传递保证”网络功能、启动 PowerShell 或控制面板。值得注意的是,该服务通常在安装企业应用程序时在后台启用,即使应用程序卸载后也会继续运行。例如,MSMQ 会在 Exchange Server 安装期间自动启用。
Windows_AFD_LPE_CVE-2023-21768分析
本文为看雪论坛优秀文章看雪论坛作者ID:N1ptuneCVE-2023-21768 Windows Ancillary Function Driver (AFD) afd.sys本地提权漏洞。本文是对exp代码的分析,完整exp :&nb
Windows 10 21H2将于 6 月终止服务
近日,微软提醒用户,多个版本的 Windows 10 版本 21H2 将在两个月后即2023年6月13日到达服务终止 (EOS)。这适用于2021年11月发布的以下Windows 10版本:家庭版、专业版、专业教育版和工作站专业版。微软在3月14日的初步公告中表示,“这些版本在2023年6月13日之后将不再接收安全更新。在此日期之后联系 Microsoft支持的客户将被引导将他们的设备更新到最新版本的 Windows 10或升级到 Windows 11以保持支持。
发布时间:2023-04-10 11:07 |
阅读:79154 | 评论:0 |
标签:windows
从应用层到MCU看Windows处理键盘输入
本文为看雪论坛优秀文章看雪论坛作者ID:hyjxiaobia几年前,想写一个关于ACPI协议的系列文章,并归档在<ACPI.sys,从Windows到Bios的桥梁>,但由于各种原因(最主要的原因是没有合适的笔记本)断更了。断更的这些年,我对驱动/ACPI/Bios有了更多的理解;又逢微软/Intel助攻。2020年微软泄露了部分WinXP源码(>75%), Intel泄露了KabyLake设计文档;最重要的,这个月淘宝帮我克服了最大的写作障碍----我买到了二手的dynabook笔记本。
发布时间:2023-04-08 19:49 |
阅读:155027 | 评论:0 |
标签:windows
Windows .lib 文件后门注入
本文为看雪论坛优秀文章看雪论坛作者ID:_emmm_lib文件在windows下有两种形式出现,第一种就是普通的静态库,第二种是作为dll的导入库。接下来我来分享一下如何在这两种lib文件中注入后门代码,使程序编译后生成的exe在运行时候自动。执行我们后门,并且不影响正常lib的功能。1. 注入原理首先大致说一下lib的文件格式,用压缩文件可以打开lib文件,里面可以看到许多的obj文件(几个cpp就有几个obj)。lib实际上就是一堆Obj文件打包在了一起,当然还有一些额外的信息,这个之后再说。
Windows 10与Windows 11对比:证据痕迹
本文由金恒源编译,陈裕铭、Roe校对,转载请注明。Windows10操作系统发布于2015年7月29日。此后,该系统成为装机量最大的桌面操作系统。最近,Windows 11作为Windows 10的进化版于2021年10月向公众发布。在本文发表时,尚未有同行对这两个操作系统所带来的变化进行深入的对比。本文旨在详尽地分析Windows 10和Windows 11之间的差异,以更好地了解电脑痕迹和安全特性的变化,为电子数据取证和应急响应人员提供具有可行性的结论。简介Windows是一个由微软创建的操作系统,自1985年首次发布以来,在个人和专业计算领域无处不在。
发布时间:2023-04-07 11:15 |
阅读:99627 | 评论:0 |
标签:windows
10 年未被强制修复!黑客利用 Windows 旧漏洞侵入通信公司
近日,VoIP 通信公司 3CX 遭到黑客的大规模供应链共计,被分发了含有木马程序的 Windows 应用。黑客此次侵入利用的,是一个已经被发现 10 年的 " 古董级 " 漏洞。通过该漏洞,黑客替换了 Windows 桌面应用程序使用的两个 DLL,设备一旦运行这些恶意应用,就会下载信息窃取木马等其它恶意软件。而设备运行这个恶意软件,Windows 系统依然显示由微软官方签署。需要注意的是,微软实际上早在 2013 年 12 月 10 日就首次披露了此漏洞,并发布了对应的修复补丁。
windows10永恒之黑漏洞复现
1. 漏洞介绍
在进行主机rce漏洞复现的时候,发现win10除了永恒之蓝之外,Windows10还存在永恒之黑漏洞,在这里通过安装镜像来测试下,中间遇到巨多的问题,最后复现成功。
1.1 漏洞描述
2020年3月,微软公布SMB远程代码执行漏洞(CVE-2020-0796)又称“永恒之黑”,该漏洞由SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客攻击的目标系统只需开机在线即可能被入侵。
Windows反向shell -- hoaxshell
0x01 工具介绍hoaxshell 是一种非常规的 Windows 反向 shell,目前未被 Microsoft Defender 和可能的其他 AV 解决方案检测到,因为它完全基于 http(s) 流量。该工具易于使用,它生成自己的 PowerShell 有效负载并支持加密 (ssl)。
技术前瞻|Windows 蓝牙漏洞利用(CVE-2022-44675)
点击上方蓝字关注我们去年,笔者(B1aN)留存的两个蓝牙漏洞被微软修补(CVE-2022-44674,CVE-2022-44675)。其中一个漏洞(CVE-2022-44675)笔者在修补之前已经完成了相对稳定的本地提权利用。本文将会介绍:该漏洞的细节笔者如何完成的该漏洞的本地提权利用堆风水布置的一些细节|漏洞细节(CVE-2022-44675)该漏洞是一个位于 bthport.sys 的整形溢出导致的越界写漏洞。bthport.sys 介绍bthport.sys 是 Windows 蓝牙总线驱动。
黑客利用 10 年未强制修复的旧 Windows 漏洞,攻击通信公司并分发恶意文件
IT之家 4 月 1 日消息,VoIP 通信公司 3CX 本周三晚上遭到黑客攻击,在大规模供应链攻击中,分发了含有木马程序的 Windows 应用程序。而黑客本次攻击所利用是一个已有 10 年历史的 Windows 漏洞,可执行文件看起来像是经过合法签名的。而更糟糕的是,微软在 Win11 系统中删除了这个修复补丁。微软很早的时候就发布了修复补丁,只是并未强制性要求设备安装,依然为“可选更新”。黑客替换了 Windows 桌面应用程序使用的两个 DLL,设备一旦运行这些恶意应用,就会下载信息窃取木马等其它恶意软件。
【恶意文件】Magniber勒索软件借助微软的漏洞实施攻击
恶意家族名称:
Magniber
威胁类型:
勒索软件
简单描述:
Magniber勒索家族的前身是Cerber,至少从2021年10月已经开始活跃,最初主要针对韩国,从今年年初开始,该组织日益活跃,攻击范围开始遍布全球,包括中国大陆、中国台湾、中国香港、马来西亚、新加坡和欧洲等。
Windows帐户密码:破解NTLM认证
本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。Windows帐户密码或NTLM密码是最容易恢复的密码之一,因为它们的加密强度相对较低。同时,NTLM密码可用于解锁受DPAPI保护的数据,例如存储在Web浏览器中的用户密码、加密聊天、受EFS保护的文件和文件夹等。在这篇文章中,我们将着重讨论NTLM哈希的恢复。什么是NTLM哈希?在Windows中,当用户登录到其Windows帐户时,系统使用NTLM哈希验证密码。在现版本的Windows中,微软仍然使用NTLM机制存储密码。这些密码存储在SAM数据库中,或存储在域控制器上的NTDS数据库中。
黑帝公告 📢
❤十年经营、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤
💰¥万百赚万千着跟:由自富财↓💸
❤用费0款退球星,年1期效有员会
🧠富财控掌,知认升提,长成起一💡