首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8085
文章
9118910
阅读量
349
订阅数
rp-bf:一款Windows下辅助进行ROP gadgets搜索的Rust库
rp-bf是一款Windows下辅助进行ROP gadgets搜索的Rust库,该工具可以通过模拟Windows用户模式下的崩溃转储来爆破枚举ROP gadgets。
FB客服
2024-02-04
820
如何使用WinDiff浏览和对比Windows源代码中的符号和系统调用信息
CLI工具用于从配置文件中生成压缩的JSON数据库,并依赖于Winbindex来查找和下载所需的PE(和PDB)。CLI工具的主要目的是能够在发布新版本的Windows时轻松更新和重新生成数据库。CLI工具的代码位于项目的windiff_CLI目录中。
FB客服
2024-01-15
1630
如何使用BeRoot-Windows通过Windows常见错误配置实现提权
BeRoot-Windows是一款功能强大的Windows安全检测与权限提升工具,该工具专为红队研究人员和Windows系统安全专家设计,该工具可以检测常见的Windows错误配置,并尝试实现权限提升。
FB客服
2023-11-27
1210
新的指纹传感器漏洞可绕过 Windows Hello 登录
一项新的研究发现,戴尔 Inspiron 15、联想 ThinkPad T14 和微软 Surface Pro X 笔记本电脑上的多个漏洞可以绕过 Windows Hello 身份验证。
FB客服
2023-11-24
1160
PrivKit:一款专门检测Windows提权漏洞的Beacon对象文件工具
PrivKit是一款功能强大的Windows操作系统权限提升漏洞检测工具,该工具本质上是一个Beacon对象文件,可以帮助广大研究人员以高效且快速的方式检测Windows操作系统上由错误配置所导致的提权漏洞。
FB客服
2023-10-17
2090
警报:新的 Kubernetes 漏洞可对 Windows 端点实施远程攻击
这些漏洞被标记为 CVE-2023-3676、CVE-2023-3893 和 CVE-2023-3955,CVSS 评分为 8.8,影响所有带有 Windows 节点的 Kubernetes 环境。继 Akamai 于 2023 年 7 月 13 日披露后,这些漏洞的修复程序于 2023 年 8 月 23 日发布。
FB客服
2023-09-19
1990
已有28年历史的写字板将正式从Windows系统中移除
相信熟悉Windows系统的用户或多或少都了解过其中自带的写字板功能,但微软近期表示,将在未来的某个 Windows 版本更新中正式移除写字板。
FB客服
2023-09-08
1070
Hidden:一款针对Windows系统安全的研究任务解决方案
Hidden是一款针对Windows系统安全的研究任务解决方案,该工具专为系统安全与逆向工程专家而设计,目前已经被开发成为了一种针对Windows操作系统安全的强大工具。
FB客服
2023-09-08
2130
PyPI 中发现六个针对 Windows 用户的恶意软件包
研究人员发现的 6 个恶意软件包,都缺少与之关联的 GitHub 存储库。合法软件包通常都会有与之关联的存储库,而恶意软件包为了隐藏代码则通常不会关联。执行后,恶意软件包会收集敏感数据并将其发送到第三方 URL。
FB客服
2023-08-08
1910
伊朗黑客正在瞄准 Windows 和 macOS 用户
Proofpoint 在一份报告中指出 TA453 使用各种云托管服务提供了一个新感染链,该链部署了新确定的 PowerShell 后门 GorjolEcho。一旦得到机会,TA453 就会移植其恶意软件,并试图启动一个名为 NokNok 的苹果风格的感染链。此外,研究人员发现 TA453 还在其无休止的间谍活动中使用了多角色模拟。
FB客服
2023-08-08
2030
PyRexecd:一款专为Windows设计的独立SSH服务器
 关于PyRexecd  PyRexecd是一款专为Windows设计的独立SSH服务器,在该工具的帮助下,广大研究人员可以轻松搭建和使用SSH服务器。  功能介绍  1、独立的Win32应用程序,而非服务,支持常驻系统托盘; 2、支持独立用户/公钥身份验证; 3、支持通过弹窗提醒传入的连接; 4、支持通过STDIN/STDOUT发送和接收剪贴板文字内容;  工具要求  Python 3 Paramiko PyWin32 cx_Freeze(可选)  工具安装  由于该工具基于Python 3开
FB客服
2023-05-19
6560
Windows权限维持技巧之隐藏服务
0x01注册服务 将后门注册为windows自启动服务是常见的后门维持手法,使用命令sc或者powershell命令都可以将自己的后门程序注册为自启动服务。 使用sc命令将后门程序注册为自启动服务,并以LocalSystem的身份运行: 手动启动服务或重启计算机,后门执行。虽然手动执行时提示启动失败,但实际上后门已经成功执行: msf成功建立新会话,查看权限为system 虽然成功实现了服务自启动,但是这个权限维持的方法很容易被检测。因为创建新的服务后可以检索到这个服务,如果防御者看到名字不熟悉的服务
FB客服
2023-04-26
1.1K0
Clairvoyance:一款Windows进程内存地址空间可视化工具
工具概述 Clairvoyance是一款功能强大的Windows进程内存地址空间可视化工具,它可以针对一个Windows 64位内核中运行的整个64位进程地址空间(用户和内核)创建一个丰富多彩的页面保护可视化界面。 该工具利用hilbert空间填充曲线将一维空间即地址空间转化为二维可视化界面。上图中的每个彩色像素表示虚拟内存中4KB页的页保护(UserRead、UserReadWrite等)。 地址空间是通过从使用WindDbg生成的内核崩溃转储中手动解析与进程相关联的四级页表层次结构来直接计算的。 最后
FB客服
2023-04-26
4870
红色警戒!Windows微信蓝屏文件刨析
样本: 核心代码为:file:///globalroot/device/condrv/kernelconnect 受灾画面: 分析 .url文件 url格式的文件是一种网页文件,只要接触就会触发访问 漏洞分析可见开普勒安全团队此前发的文章《Windows10使用浏览器崩溃复现及分析》,内容如下: 看到微博某位大佬发了一条漏洞 复现 我们直接在浏览器输入这个地址: \\.\globalroot\device\condrv\kernelconnectbr 成功复现,电脑蓝屏: 分析 看报错
FB客服
2023-04-26
5610
新勒索软件RedAlert来袭!已有Windows、Linux等服务器中招
根据BleepingComputer消息,一种名为RedAlert的新勒索软件对企业网络进行攻击,目前已经有Windows和Linux VMWare ESXi系统中招。MalwareHunterTeam 在今天发现了这款新的勒索软件,并在推特上发布了关于该团伙数据泄露站点的各种图片。 根据勒索信中使用的字符串,勒索软件被称为“RedAlert”。但从已获得的消息,勒索者在内部将其称为“N13V”,如下所示。 △RedAlert / N13V 勒索软件命令行选项 Linux 加密器是针对 VMware ES
FB客服
2023-04-26
1.3K0
如何使用FindUncommonShares扫描Windows活动目录域中的共享
 关于FindUncommonShares  FindUncommonShares是一款功能强大的活动目录域共享扫描工具,该工具基于Python开发,本质上是一个与Invoke-ShareFinder.ps1功能类似的脚本,可以帮助广大研究人员在一个庞大的Windows活动目录域中搜索不常见的共享存储/驱动。  功能介绍  当前版本的FindUncommonShares提供了以下功能: 1、只需要使用低权限域用户账号; 2、自动从域控制器的LDAP中获取包含所有计算机的列表; 3、可以使用--ignor
FB客服
2023-04-18
6010
如何使用Suborner创建隐形Windows账号
 关于Suborner  Suborner是一款功能强大的隐形账号生成工具,该工具可以帮助广大研究人员创建一个隐形Windows账号,而这个账号就只有你一个人会知道。  工具特性  1、在没有网络用户或Windows操作系统用户管理应用程序的情况下创建不可见的本地帐户(例如netapi32::netuseradd); 2、适用于所有Windows NT计算机,从Windows XP到11,从Windows Server 2003到2022; 3、通过RID劫持成功身份验证后的任何现有帐户(无论启用或禁用
FB客服
2023-04-12
1.9K0
Windows系统曝0day漏洞,影响所有版本的Windows Print Spooler
近日,微软警告Windows用户称,Windows Print Spooler服务中存在未修补的严重漏洞。 本以为漏洞已被修复,意外披露PoC 这个被称为“PrintNightmare”的漏洞是在安全研究人员意外发布概念验证(PoC)漏洞后于本周早些时候被发现的。虽然微软尚未对该漏洞进行CVSS评分或严重程度分级,但它允许攻击者以系统级权限远程执行任意代码。 早前,可能是与微软之间的沟通出现了问题,导致某网络安全公司的研究人员发布了该漏洞的概念验证代码(PoC),错误地认为它已经作为CVE-2021-167
FB客服
2023-03-30
6650
新的DFSCoerce NTLM中继攻击允许攻击者控制Windows域
Security Affairs 网站披露,安全专家发现了一种名为 DFSCoerce 的新型 Windows NTLM 中继攻击,它允许攻击者控制 Windows 域。 DFSCoerce 攻击依赖分布式文件系统 (DFS):命名空间管理协议 (MS-DFSNM) 来完全控制 Windows 域。分布式文件系统 (DFS):命名空间管理协议为管理 DFS 配置提供了 RPC 接口。 安全研究员 Filip Dragovic 发布了一个新的 NTLM 中继攻击的概念验证脚本,该PoC基于PetitPota
FB客服
2023-03-30
3980
新的Windows搜索零日漏洞可被远程托管恶意软件利用
安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标
FB客服
2023-03-30
2450
点击加载更多
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档