记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Windows Server服务中的身份验证漏洞的安全风险

Akamai研究人员Ben Barnea在Windows Server服务中发现了一个重要的漏洞,鉴于此漏洞影响较大,建议客户尽快做好自查及防护。该漏洞被分配为CVE-2022-30216,风险评分为8.8。Windows Server服务在处理特制请求时存在漏洞,经过身份认证的远程攻击者可利用此漏洞在目标系统上执行代码。该漏洞利用了Server服务实现的安全回调过程中的一个单字节缓冲区溢出漏洞(off-by-one)。单字节缓冲区溢出,其中最常见的是边界验证不严,通常包括循环次数错误和字符串操作不合适而造成的。
发布时间:2022-09-24 12:47 | 阅读:265124 | 评论:0 | 标签:漏洞 windows 安全 身份

【技术原创】渗透技巧——从VMware ESXI横向移动到Windows虚拟机

0x00 前言假定以下测试环境:我们获得了内网VMware ESXI的控制权限,发现VMware ESXI上安装了Windows域控服务器。本文仅在技术研究的角度介绍从VMware ESXI横向移动到该Windows域控服务器的方法,结合利用思路,给出防御检测的方法。0x02 简介本文将要介绍以下内容:· 利用思路· 常用命令· 实现方法0x03 利用思路通过VMware ESXI管理虚拟机,创建快照文件,从快照文件中提取出有价值的信息。
发布时间:2022-09-21 15:43 | 阅读:229572 | 评论:0 | 标签:移动 渗透 windows

Windows 11 2022更新中的最新安全相关功能一览

早在4月,微软公布了Windows 11的一系列新的安全功能,并表示它们即将在操作系统的"未来版本"中出现。事实证明,该公司在这一声明中指的是Windows 11 2022更新--现在正在推送。微软已经证实,它在几个月前宣布的所有安全改进措施现在都可以在Windows 11中普遍使用。 Windows 11中的智能应用控制设置这次更新的重头戏是智能应用控制,它由人工智能模型驱动,有助于检测和阻止潜在的不安全应用在电脑上运行。智能应用控制建立在Windows Defender应用控制(WDAC)的基础上。
发布时间:2022-09-21 05:47 | 阅读:50218 | 评论:0 | 标签:windows 安全

关于网络安全人才缺口达327万的讨论、个人IM的内容审计如何合规又合法?windows服务器后门如何排查和取证?| 总第164周

##企业安全建设实践 95 个 ##金融群 74 个 #群周报 48 个 #网络安全 77 个 #信息安全 53 个 0x1 本周话题TOP4话题1:招聘丨西北工业大学网络安全与信息化建设岗A1:这被搞了,想起来招人了。非事业编,外包吗?另一个问题:这临时起意,能有多少预算买设备?A2:事件驱动,网络安全三同步呢?A3:非事业编,什么时候被攻击这事不会被当作zz事件素材后,岗位可能就撤了。A4:高校的安全建设貌似都没怎么跟上,攻防演习,高校是重灾区。这么大事件都没开放个事业编出来,唏嘘。可以理解成派遣。A5:大多数企业都没有资源,高校这样更正常。
发布时间:2022-09-17 14:44 | 阅读:94215 | 评论:0 | 标签:后门 审计 windows 网络安全 合规 安全 网络

MICROSOFT WINDOWS NFS V4中发现一个远程代码执行漏洞

关于MICROSOFT WINDOWS NFS V4 的漏洞频频出现,七月份,趋势科技研究团队就公布了一个CVE-2022-30136,该漏洞是在网络文件系统 (NFS) 的实现中发现的,并且是由于对 NFSv4 请求的处理不当造成的。未经身份验证的攻击者可以利用此漏洞在 SYSTEM 上下文中执行任意代码。NFS v4是NFS v3的继承版本,主要针对WAN环境部署NFS做出改进并提出NFS分布式文件系统方案。NFSv4为虚拟分配提供的新特性。随着存储虚拟分配功能的普及使用,nfsv4可以为预留固定大小的存储空间;同样在文件系统上删除文件后,也能够在存储上面释放相应空间。
发布时间:2022-09-17 12:44 | 阅读:187320 | 评论:0 | 标签:漏洞 windows 远程 执行 远程代码执行

什么?Windows defender 竟如此脆弱?

简介Windows Defender ,现名 Microsoft Defender,曾用名 Microsoft Anti Spyware ,是一个杀毒程序,可以运行在 Windows XP 和 Windows Server 2003 操作系统上,并已内置在 Windows Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 和 Windows 11 中。它的测试版于2005年1月6日发布,在2005年6月23日、2006年2月17日微软又发布了更新的测试版本。Windows Defender的定义库更新很频繁。
发布时间:2022-09-17 08:52 | 阅读:77726 | 评论:0 | 标签:windows

Windows驱动编程之NDIS(VPN)

#“雪花”创作激励计划 172个 本文为看雪论坛优秀文章看雪论坛作者ID:一半人生一引言一篇有关Windows VPN代理技术分享,并不讨论VPN方案和隧道加密代理,而是NDIS小端数据包到应用层原理技术探讨分享。个人Windows下用过两个OpenVpn驱动版本,tap-windows 5.0(Ndis 5.0)版本 <= win7,tap-windows 6.0(Ndis 6.0)版本 >= win8。
发布时间:2022-09-14 20:39 | 阅读:68643 | 评论:0 | 标签:windows VPN

微软:伊朗黑客使用BitLocker加密Windows系统

微软表示,一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能,以加密受害者的系统,微软将它跟踪分析的这个组织编号为DEV-0270(又名Nemesis Kitten)。微软的威胁情报团队发现,该威胁组织能够快速利用新披露的安全漏洞,并在攻击中广泛使用非本地二进制文件(LOLBIN)。这与微软的发现结果:DEV-0270在使用BitLocker相一致,这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016 及更高版本的设备上提供全卷加密服务。
发布时间:2022-09-13 12:36 | 阅读:61025 | 评论:0 | 标签:加密 黑客 windows 微软

微软声称:伊朗黑客使用BitLocker加密Windows系统

微软表示,一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能,以加密受害者的系统,微软将它跟踪分析的这个组织编号为DEV-0270(又名Nemesis Kitten)。微软的威胁情报团队发现,该威胁组织能够快速利用新披露的安全漏洞,并在攻击中广泛使用非本地二进制文件(LOLBIN)。这与微软的发现结果:DEV-0270在使用 BitLocker相一致,这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016及更高版本的设备上提供全卷加密服务。
发布时间:2022-09-12 12:41 | 阅读:80443 | 评论:0 | 标签:加密 黑客 windows 微软

奇安信天擎独家入选第二批Windows 7操作系统安全防护产品目录

9月8日,中国网络安全产业联盟(CCIA)公布了经由第三方评测机构检测,奇安信天擎终端安全管理系统独家入选第二批《实践指南》标准的 Windows 7 操作系统安全加固防护产品目录。2020年1月,微软宣布停止对Windows7操作系统的更新服务,付费拓展安全更新也将于2023年1月到期。但Windows7操作系统在我国党政机关和企事业单位仍在大量使用,且短时间内无法升级新版操作系统,直接面临漏洞利用攻击带来的相关系统瘫痪、信息泄露和财产受损等安全风险。
发布时间:2022-09-09 10:35 | 阅读:65427 | 评论:0 | 标签:Windows 7操作系统 奇安信 安全防护产品 windows 防护 安全 操作系统

Windows勒索病毒应急思路及常见问题

以下文章来源于微步在线应急响应团队 ,作者Phobos 微步在线应急响应团队 . 探究和还原事件的本质,您身边坚定的安全守护者! 听说了吗?某某企业被勒索了、员工没办法开机办公,甚至还有某某行业巨头被勒索了,赎金高达成百上千万!时不时,网上就会有这样一些消息被披露出来,被勒索的企业覆盖医疗、制造等行业居多,不乏行业巨头。当然,被勒索企业的入侵手法不尽相同。作为一个常年处在一线的应急响应工程师,日常看到很多应对勒索病毒入侵事件的真实场景,普遍都相对被动,不知所措,每次都觉得非常可惜。本文更偏向一个科普性的文章,是一些常见的Windows勒索病毒应急思路和常见问题的梳理。
发布时间:2022-09-07 17:40 | 阅读:95071 | 评论:0 | 标签:勒索 windows 病毒 勒索病毒

借助内核回调阻断 Windows 进程注入

0. TL; DR本文分享一个有意思的项目 pi-defender[1](Process Injection Defender)。其在内核层阻断所有可能的进程注入,并通过签名和白名单来很大程度减少误杀。搜索发现该技巧早有人提出,本文仅借此项目进行分析。
发布时间:2022-09-05 11:31 | 阅读:66423 | 评论:0 | 标签:注入 windows

安全研究人员成功劫持了Windows 11的Power Automate工具

Windows 11包括一个自动执行重复性任务的工具Power Automate,为用户节省了大量的时间。然而,一位安全研究人员说,这也能为黑客节省大量时间,他质疑其自动化工具的脆弱性,但正如关于网络安全的惯例,人类的自满可能是最薄弱的环节。 访问:阿里云1核2G云服务器低至1折 最高可得500元满减优惠券 一家研究公司最近公布了攻击者劫持随Windows 11自带的自动化工具的方法,以在网络上传播恶意软件和窃取数据。这个过程需要满足一些权限上条件,但这标志着IT安全的另一个关注领域。
发布时间:2022-09-04 05:43 | 阅读:75713 | 评论:0 | 标签:windows 安全

Windows NFS协议漏洞分析(CVE-2022-34715)

更多安全资讯和分析文章请关注启明星辰ADLab微信公众号及官方网站(adlab.venustech.com.cn)研究背景2022年8月9日,微软发布了月度安全更新,共修补121个漏洞,包括PPP协议、SMB协议、NFS协议等远程代码漏洞。启明星辰ADLab对其中的NFS漏洞(CVE-2022-34715)进行了漏洞分析与验证。协议简介NFSv4协议允许用户以访问本地文件系统的相同方式访问远程文件共享,使用开放网络计算(ONC)和远程过程调用(RPC)来交换控制消息。一个NFSv4请求包含RPC协议头和NFS procedures两部分。
发布时间:2022-09-03 05:51 | 阅读:188455 | 评论:0 | 标签:漏洞 CVE windows 分析

智利政府Windows、Linux服务器遭新型勒索病毒攻击

智利国家计算机安全和事件响应小组 (CSIRT) 发布消息称,勒索软件攻击影响了该国政府机构的运营和在线服务。据悉,智利国家政府机构运营的Microsoft 和 VMware ESXi 服务器,在上周突遭勒索软件攻击,不法黑客停止了所有正在运行的虚拟机,并以“.crypt”的文件扩展名加密了文件数据。智利 CSIRT 称,这次攻击中使用的恶意软件还具有从 Web 浏览器窃取凭据、列出可移动设备进行加密以及使用执行超时逃避防病毒检测的功能。为了获得赎金,不法黑客向智利 CSIRT 提供了一个沟通渠道,协商支付赎金,防止文件泄露并解锁加密数据。
发布时间:2022-09-02 17:40 | 阅读:79985 | 评论:0 | 标签:linux 攻击 勒索 windows 病毒 勒索病毒

hoaxshell:一款功能强大的非传统Windows反向Shell

 关于hoaxshell hoaxshell是一款功能强大的非传统Windows反向Shell,当前版本的Microsoft Defender和部分反病毒解决方案基本无法检测到hoaxshell的存在。该工具易于使用,不仅可以生成其自己的PowerShell Payload,而且还可以支持加密(SSL),可以帮助广大研究人员测试Windows系统的安全性。当前版本的hoaxshell已在最新的Windows 11企业版和Windows 10专业版进行过测试。
发布时间:2022-09-01 11:21 | 阅读:62025 | 评论:0 | 标签:windows shell

windows api隐藏结合进程篡改

泛星安全团队泛星安全团队第9篇文章声明文章内容为学习记录,请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。工具、漏洞知识点总结Run PE技术、windows敏感api隐藏实现一、Run PE技术的实现图例整个流程如上图,实际是将PEB中ImagebaseAddress的位置从原进程替换为了恶意进程,原进程的映像基址为0x400000,我们新挂载的恶意基址为0xA00000,只需要在整个进程运行起来之前替换ImagebaseAddress的基址为恶意程序的基址即可。
发布时间:2022-08-30 17:56 | 阅读:70477 | 评论:0 | 标签:windows API

MiMi应用被植入后门,攻击安卓、iOS、Windows和macOS平台

国内即时消息应用MiMi被植入后门,攻击安卓、iOS、Windows和macOS平台。MiMiMiMi是一款主要针对国内用户的即时消息应用,有Windows、macOS、安卓和iOS版本。桌面版用ElectronJS框架开发,该框架是依赖node.js的跨平台框架,允许开发者使用HTML、JS和CSS创建应用。MiMi并没有进行推广,网站(www.mmimchat[.]com)只有一个下载链接,没有详细的介绍,也没有社交媒体推广链接。图1 Mimi网站(www.mmimchat[.]com)网站的最近修改时间是7月26日。
发布时间:2022-08-30 13:14 | 阅读:121195 | 评论:0 | 标签:后门 iOS 攻击 windows mac ios

免杀ShellCode加载器 ,360、火绒、Windows Defender

Bypass_AV msf免杀,ShellCode免杀加载器 ,免杀shellcode执行程序 ,360&火绒&Windows Defender代码够简单,估计要不了多久就进特征库了,被杀了再去改几个特征码照样又可以免杀,作者的github保持更新,可以去瞅瞅。
发布时间:2022-08-29 09:46 | 阅读:65499 | 评论:0 | 标签:shellcode windows shell 360

Donot Team 网络间谍组织更新其 Windows 恶意软件框架

Hackernews 编译,转载请注明出处: Donot Team黑客,又名APT-C-35,为其Jaca Windows恶意软件框架添加了新功能。 Donot团队自2016年以来一直活跃,重点关注政府、军事组织、外交部以及印度、巴基斯坦、斯里兰卡、孟加拉国和其他南亚国家的大使馆。 2021年10月,大赦国际发布的一份报告表示,“Donot团队利用Android应用程序伪装成安全聊天应用程序和恶意电子邮件,针对多哥著名人权捍卫者进行攻击。过去,在南亚以外的攻击中发现了Donot团队间谍软件。调查还发现了这些攻击中使用的间谍软件和基础设施,与印度网络安全公司Innefu Labs之间的联系。
发布时间:2022-08-22 17:51 | 阅读:90199 | 评论:0 | 标签:恶意软件 网络安全 Donot windows 间谍 网络

维基解密揭露“午夜后”和“刺客”CIA Windows恶意软件框架

被称为 “午夜后 “和” 莎辛那 “这两个恶意软件程序的设计目的都是监视和报告运行 Windows 操作系统的受感染远程主机上的操作,并执行 CIA 指定的恶意操作。 自今年 3 月以来,维基解密发布了数十万份文件和秘密黑客工具,该组织声称这些文件和工具来自美国中央情报局(CIA)。最新一批是泄密组织 “Vault 7” 系列的第 8 版。“午夜后” 恶意软件框架根据维基解密的一份声明,“午夜后” 允许其运营商在目标系统上动态加载和执行恶意负载。
发布时间:2022-08-21 15:18 | 阅读:99881 | 评论:0 | 标签:windows 解密 恶意软件 CIA 维基解密

【开放下载】: 反黑工具箱一之Windows安全检测工具

    上周,公司将“统一组件”作为正式考核项了,搞得我们好紧张。既然部署了就干吧,找找看有没有存货了。翻着公众号里的文章,虽然时间都不久远,我还是产生了一些陌生感和距离感。感叹时间、精力、体力不比以前了,按领导的说法就是有“躺平、装睡、麻痹”思想。没办法,往大了说,是维护好二十大网上安保,小了说就是一切工作围绕考核干,不考的不干或少干。连情怀也是如此,难怪喜欢董宇辉的人越来越多,太珍贵了!    这个工具开发于2009年,最后收笔是2015年,前前后后、陆陆续续地添加功能,可以看出,这个工具开发时饱含了我大量的心血。
发布时间:2022-08-20 12:35 | 阅读:120557 | 评论:0 | 标签:windows 安全

在WannaCry之前几周,加密货币挖掘僵尸网络使用Windows SMB漏洞

根据Proofpoint的安全研究员卡费恩(Kafeine)的说法,另一组网络犯罪分子正在使用美国国家安全局(NSA)创建的、上个月被影子经纪公司(Shadow Brokers)抛弃的同一个永恒蓝色漏洞,用一种名为阿德尔库兹。这一恶意活动几周来一直没有引起注意,因为与WannaCry不同,该恶意软件不安装勒索软件或通知受害者,而是悄悄地用只有我的恶意软件才能感染未打补丁的计算机莫内罗“一种类似比特币的加密货币。
发布时间:2022-08-19 18:50 | 阅读:173176 | 评论:0 | 标签:加密 漏洞 僵尸网络 windows 网络 加密货币 wannacry

CISA:两个Windows和UnRAR漏洞已被黑客利用

 据外媒,近日美国网络安全和基础设施安全局在已知可利用漏洞(Known Exploited Vulnerabilities)目录下新增了2个新的漏洞。其中1个漏洞存在于Windows Support Diagnostic Tool (MSDT),并以零日的形式存在2年多时间,有充足的证据表明被黑客利用。这两个安全漏洞都被标记为高严重性评分,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。其中第一个漏洞被官方跟踪为CVE-2022-34713,MSDT中的安全漏洞允许攻击者将恶意可执行文件放入Windows启动文件夹。
发布时间:2022-08-19 16:44 | 阅读:137207 | 评论:0 | 标签:漏洞 黑客 windows

攻击者更倾向于通过Windows快捷方式部署恶意软件

LNK、MLNK、WINDOWS1. 可执行文件概述Windows文件资源管理器(explorer.exe)是LOLbin链中最靠前的离地二进制文件,攻击者通过滥用恶意的Windows快捷方式(LNK文件)来执行恶意软件。研究团队对来自VirusTotal 的27510个代表性LNK恶意文件进行大规模分析发现:快捷方式指向Windows文件资源管理器(explorer.exe)的数量位居榜首(约占 87.2%),其次是powershell.exe(7.3%)、wscript.exe(4.4%)和rundll32.exe(0.5%)。LNK文件目前在攻击者的恶意软件部署和持久化利用中非常流行。
发布时间:2022-08-16 23:04 | 阅读:76465 | 评论:0 | 标签:攻击 windows 恶意软件

利用 Windows 垫片机制进行提权的 Dridex v3 银行木马分析

 Dridex 是目前活跃的技术最先进的银行木马之一。该恶意软件的主要目标是从受害者那里窃取银行凭证。Dridex 自 2014 年以来一直存在,并在持续不断的更新,这些更新帮助该恶意软件进化并变得越来越强大。 样本信息:MD5107a3bef0da9ab2b42e3e0f9f843093bSHA1fc5d6fc2cbb1d95864f5ed26b50e4ebe68333eab 样本概述:该样本外层是一个 loader,最终的 payload 是一个 Dridex 木马。 运行流程: 详细分析:1,解密并展开自身携带的 payload (PE1.exe) 与 shellcode。
发布时间:2022-08-15 12:32 | 阅读:163666 | 评论:0 | 标签:提权 windows 木马 银行 分析

windows信息收集工具 -- winlog

项目作者:i11us0ry项目地址:https://github.com/i11us0ry/winlog一、工具介绍一款基于go的windows信息收集工具,主要收集目标设备rdp端口登录、mstsc远程连接记录、mstsc密码和安全事件中。
发布时间:2022-08-14 05:09 | 阅读:140262 | 评论:0 | 标签:windows

安恒信息入选2022 BlackHat USA议题《Windows本地提权在野0day狩猎之旅》大揭密

作者:jq09042022年8月12日清晨,安恒信息中央研究院下属的猎影实验室、卫兵实验室的研究成果《Windows本地提权在野0day狩猎之旅》在BlackHat USA 2022大会发布。议题中阐述到对于安全厂商和威胁狩猎人员,捕获在野0day漏洞是一件极具挑战的事情,研究员们基于过去多年历史技术案例复盘研究,提出一套有效的Windows本地提权漏洞检测方法,目前利用该方法多次捕获到Windows在野0day漏洞。此外通过对比不同方法的优劣,研究员们给出了对未来Windows本地提权漏洞的一些洞见。
发布时间:2022-08-13 13:44 | 阅读:141018 | 评论:0 | 标签:0day 提权 windows

[图]CISA示警两个Windows和UnRAR漏洞已被黑客利用

美国网络安全和基础设施安全局 (CISA)基于目前掌握的证据,在已知可利用漏洞(Known Exploited Vulnerabilities)目录下新增了 2 个新的漏洞。其中 1 个漏洞存在于 Windows Support Diagnostic Tool (MSDT),并以零日(0-Day)的形式存在 2 年多时间,有充足的证据表明被黑客利用。 访问:阿里云服务器精选特惠:1核1G云服务器低至0.9元/月 这两个安全漏洞都被标记为高严重性评分,并且是目录遍历漏洞,可以帮助攻击者在目标系统上植入恶意软件。
发布时间:2022-08-11 19:41 | 阅读:170110 | 评论:0 | 标签:漏洞 黑客 windows

安天智甲入选“ Windows 7 操作系统安全加固指引防护产品目录(第1批)”

点击上方"蓝字"关注我们吧!8月8日,中国网络安全产业联盟(CCIA)公布了Windows 7 操作系统安全加固指引防护产品目录(第1批),安天智甲终端防御系统成功入选。安天基于二十多年的威胁实战经验、以及对操作系统安全加固相关技术的持续工程实践积累,为《网络安全标准实践指南——Windows 7 操作系统安全加固指引》的形成提供了大量技术支持与经验素材。具体可参考此前安天公众号发布的《关于<Windows 7 操作系统安全加固指引>的技术解读与运维思路》。
发布时间:2022-08-11 01:45 | 阅读:180812 | 评论:0 | 标签:windows 加固 防护 安全 操作系统

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

标签云 ☁

本页关键词 💎