需求:生成ANSI格式的.ps1,实现检查开机的时候windows time服务是否启动状态,不是的话启动它。
通常的钓鱼邮件场景中office的安全问题一直都受到关注,恶意宏文档制作简单,兼容性强,并且攻击成本较小,所以整体占比较大。但是使用恶意宏进行攻击,往往需要用户进行交互,攻击的隐蔽性不强,结合Powershell的攻击方式二者结合还是可以搞一点大事情的。
学powershell有一个星期了吧,一直为这种批处理的运行模式烦恼。按照以下步骤操作后的效果是: 直接.ps1文件可以以管理员身份使用powershell.exe运行代码。 在.ps1文件上右键点edit,可以用PowerGUI进行开发。 1.安装PowerGUI。 2.在安装目录下,打到exe,右键属性,设置为以管理员启动。 3.(此步骤为开启UAC的系统使用)编译:PowerShellAgent.exe。(如果已经有了,不用再次编译。) 由于默认的ps1文件的右键命令Run
很多用户除此之外,还喜欢Linux命令行~但是CMD的命令和Linux命令行有许多差别!
在做项目时,有些时候我想复制控制台上面的代码时,cmd有的时候复制粘贴很麻烦,Cmder则不会,并且Cmder可以分屏多开窗口,可以设置窗口颜色,字体大小,并且很多快捷键和谷歌浏览器操作类似,等等很多功能。
关于SharpGPOAbuse SharpGPOAbuse是一个功能强大的.NET应用程序,SharpGPOAbuse基于C#开发,可以帮助广大研究人员利用目标系统中用户针对一个组策略对象(GPO)的编辑权限来入侵并控制由该组策略对象(GPO)控制的对象。 项目获取 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/FSecureLABS/SharpGPOAbuse.git 代码编译 请确保本地主机中必要的NuGet包已正常安装,然后就可以使用
Windows操作系统中提供了一个实用工具schtasks.exe,系统管理可以使用该工具完成在指定日期和时间执行程序或脚本的工作。但是目前这个工具经常被黑客或者红队利用,从而实现持续性攻击。普通情况下,通过计划任务实现持续性攻击不需要用到管理员的权限,但是如果你希望能获得更加灵活的操作,例如指定用户登录时或者系统空闲时执行某个任务,还是会需要用到管理员的权限。
SCShell是无文件横向移动工具,它依赖ChangeServiceConfigA来运行命令。该工具的优点在于它不会针对SMB执行身份验证。一切都通过DCERPC执行。无需创建服务,而只需通过ChangeServiceConfigAAPI 远程打开服务并修改二进制路径名即可(所以要事先知道目标上的服务名称)。支持py和exe两种文件类型。
在 Windows 系统上,可以使用计划任务来定时执行某些操作,方便用户对系统的使用和管理,红队成员也可以利用这个特性来对系统进行持久化的控制。
计划任务的持久化技术可以手动实现,也可以自动实现。有效负载可以从磁盘或远程位置执行,它们可以是可执行文件、powershell脚本或scriptlet的形式。这被认为是一种旧的持久性技术,但是它仍然可以在red team场景中使用,并且由各种开源工具支持。Metasploit 的web_delivery模块可用于托管和生成各种格式的有效载荷。
使用Symantec Ghost Solution Suite 2.5 建立了自启动 Bootable CD/USB
在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术和新型混淆技术来攻击他们的目标(包括企业和用户)。这些技术通常可以绕过静态和动态分析方法,并且很好地解释了为什么基于签名的检测技术通常都会比那些创新型的攻击者要慢一步。 2017年初,黑客组织FIN8开始使用环境变量配合PowerShell通过StdIn(标准输入)来躲避基于命令行参数处理的安全检测方法。在2017年2月份,FIN8在钓鱼文档“COM
生成client、teamserver、implant的exe后,直接执行Teamserver.exe即可启动teamserver
在这篇文章中,我们将深入探讨文件传输的艺术。我们将介绍如何将文件从攻击者计算机传输到受害者 Windows 10 主机(下载),以及如何从受害者 Windows 10 主机传输回攻击者计算机(上传)的各种技术。
官网地址:https://www.nirsoft.net/utils/advanced_run.html
写在前面的话 近期,我一直在我客户的网络环境中分析PowerShell攻击,根据我的分析以及研究结果,我发现了几种方法来帮助研究人员检测潜在的PowerShell攻击。这种方法主要利用的是Windows的事件日志,首先我们需要了解攻击者是如何使用PowerShell来实施攻击的,然后我们再来看一看相关的检测和防御机制。 PowerShell如何被用于网络攻击之中 PowerShell的能力大家有目共睹,近期也有越来越多的攻击者开始在攻击活动中使用PowerShell了。PowerShell是Window
if(isWin){ shell = ‘C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe’; var osRelease = os.release(); var dotIndex = osRelease.indexOf(’.’); if(dotIndex>0){ var fv = osRelease.substring(0,dotIndex); if(fv>6){ shell = ‘C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe’; }else{ shell = ‘C:/Windows/WinSxS/wow64_microsoft-windows-commandprompt_31bf3856ad364e35_10.0.16299.15_none_b84d9d01bfe1be94/cmd.exe’; var ov = osRelease.substring(dotIndex); dotIndex = ov.indexOf(’.’); if(dotIndex>0){ var sv = ov.substring(0,dotIndex); if(sv>1){ shell = ‘C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe’;
在使用 TotalCommnader 可以设置工具的快捷图标,可以用来启动一些工具。而在进行开发,需要使用的命令行推荐使用 VisualStudio 开发命令行,因为在开发者命令行 Developer Command Prompt 提供了很多预定义的命令,包括 NuGet 和 MSBuild 这些命令
产品名称: Microsoft® Windows® Operating System
根据C:/Windows/System32/b.txt产生的老的连接状态日志发现有大量外发扫描1433端口判断可能是通过SQL Server弱密码进来的。
有一些程序不支持被直接启动,而要求通过命令行启动。这个时候,你就需要使用 PowerShell 或者 PowerShell Core 来启动这样的程序。我们都知道如何在命令行或各种终端中启动一个程序,但是当你需要自动启动这个程序的时候,你就需要知道如何通过 PowerShell 或其他命令行终端来启动一个程序,而不是手工输入然后回车运行了。
Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用。自从恶意软件出现之初,便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTLM哈希值。更隐蔽的方法是修改现有合法快捷方式的属性,但是生成具有不同特征的快捷方式可以为代码执行提供灵活性。
上一篇根据我对问题的认知方式,讲解了cobalt-strike的学习之路,希望对大家能有启发。
1、用“Windows+R”打开运行窗口输入“regedit”并按回车。或直接在Cortana栏中输入“regedit”,单击打开注册表管理器;
把如下代码(具体化密码)另存为autologon.reg双击导入并重启机器即可实现自动登录(重启后打开vnc,发现已经自动登录到桌面)
在常年攻防演练以及红蓝对抗中常被用于红方攻击的一种进行打点的方式,由于本人只是个安服仔,接触的比较少(但也不能不学),就有了这篇文章,参考各位大佬的姿势总结一下,顺便让好哥哥们复习一下基础。
专注是做事成功的关键,是健康心灵的特质。当你与所关注的事物融为一体时,就不会让自己萦绕于焦虑之中。专注与放松,是同一枚硬币的两面而已。一个人对一件事只有专注投入才会带来乐趣。一旦你专注投入进去,它立刻就变得活生生起来。
今天给大家的介绍cmder是windows下的命令行工具,用来替代windows自带的cmd 。
我们美化后的最终效果如上图所示,通过使用Windows Terminal我们可以很方便的对界面进行美化,小伙伴们也可以根据自己的需求去配置参数与字体,背景,主题颜色,下面我们就来说说具体的配置流程
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
https://cloud.tencent.com/developer/article/1883449
Red Canary近期公布了《2021 Threat Detection Report》,该报告涵盖了众多顶级网络攻击技术到MITER ATT&CK框架的映射。其中,就2020年黑客首选10大Windows网络攻击技术进行了调研。
Windows10完美支持ROS Melodic(ROS 1.0最新版)和ROS Bouncy(ROS 2.0最新版)。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
今天配置一下据说很强大的 Windows terminal,因为刚刚下载的时候是挺丑的,还是黑黑的框,得自己去折腾一下。
在一般用户权限下,通常是将要执行的后门程序或脚本路径填写到如下注册表的键值中HKCU\Software\Microsoft\Windows\CurrentVersion\Run,键名任意。普通权限即可运行
为了保护计算机不受office病毒侵害,微软设计了一个收保护视图,将所有可疑的office文件以只读方式打开,在该模式下多数编辑功能被禁用。文件呗以受保护视图打开的情况有如下几种
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念,即使是中等成熟的商店也会检测到它并迅速关闭它,或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec),这意味着生成尽可能少的日志,或者生成看起来正常的日志,即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术,但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法,因为它是我们主要用于 C2 的语法,但是 Cobalt Strike 的内置横向移动技术是相当嘈杂,对 OpSec 不太友好。另外,我知道不是每个人都有 Cobalt Strike,所以在大多数示例中也引用了 Meterpreter,但这些技术是通用的。
出现这个记录可能的原因就是电脑被安装了某种监控软件 可以使用如下命令检测电脑是否被安装
前文分享了Windows基础,包括系统目录、服务、端口、注册表黑客常用的DOS命令及批处理powershell。这篇文章将详细讲解PowerShell和PowerSploit脚本攻击,进一步结合MSF漏洞利用来实现脚本攻击和防御。希望这篇文章对您有帮助,更希望帮助更多安全攻防或红蓝对抗的初学者,且看且珍惜。本文参考徐焱老师的《Web安全攻防渗透测试实战指南》著作,谢公子博客,并结合作者之前的博客和经验进行总结。
在该GitHub地址有不同的配色方案,将其加入到上面配置的schemes中,修改colorScheme中配色名为新加入配色的name https://github.com/mbadolato/iTerm2-Color-Schemes/tree/master/windowsterminal
当目标点开美图(恶意LNK快捷方式文件:confidential.jpg.lnk),使目标认为他正在打开图像(confidential.jpg),HTA dropper 隐藏在快捷方式文件中。LNK将执行HTA,HTA将依次执行并删除的DLL payload,并且用诱饵图片替换快捷方式(confidential.jpg)。过程如下:
方法一:直接启动cmd Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Directory\shell\OpenCmdHere] @="在此处打开命令提示符" "Icon"="cmd.exe" [HKEY_CLASSES_ROOT\Directory\shell\OpenCmdHere\command] @="cmd.exe /s /k pushd "%V"" [HKEY_CLASSES_ROOT\Directory\Backgro
在Windows系统上做开发,总是对其Terminal不满意。无论是CMD还是PowerShell,真是太丑了。现在安利大家一款神器,除了外观好看以外,功能也是强劲的狠。
2023 年,信息窃密木马纷纷涌现,既有 RedLine、Raccoon 和 Vidar 等这个市场中的重要玩家,也有 SaphireStealer 等刚入局的新玩家。近日,研究人员发现了新的信息窃密木马:ExelaStealer。ExelaStealer 最早在 2023 年 8 月被披露。
近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f
该项目的开源地址为https://github.com/microsoft/terminal,如果想折腾,可以按照上面的说明自己编译。不想折腾的直接在microsoft store直接搜索Windows Terminal,会搜到一个Windows Terminal 和一个Windows Terminal Preview版本。
相信大部分的程序员都会使用过 Linux 的命令吧,比如我,用惯了 Linux 的命令回过头来用 Windows 的 cmd 就感觉不舒服了,而且 Linux 命令在 cmd 里面不能用 ? 用过
领取专属 10元无门槛券
手把手带您无忧上云