ViewState反序列化漏洞让我学到了很多,虽然其中的数据是加密的,但是它提供了一个用于执行攻击的密钥使得我能够成功获取shell,上线后在电子邮件中找到了管理员密码,需要绕过UAC限制拿到最后的flag...Users 以及 BatShare 共享的探索我们发现 Users 中只存放了一些默认用户和访客用户的文件,而 BatShare 中包含了一个压缩包appserver.zip同时将其下载下来 lucks...,它会帮助服务器序列化一个 Java 对象,并将其作为网页中的隐藏字段发送到客户端,当客户端提交时该序列化对象被发送回服务器,服务器可以使用它来取回状态。...来 ping 主机 5、更新 payload 获取反弹shell 找到之前的订阅栏目,使用 BurpSuite 将数据包拦截,具体数据包如下 将 javax.faces.ViewState 参数的值的第一个字符从...arkham.xml 用于在 windows 中反弹 meterpreter,arkham.rc 用于在 msf 中直接配置监听 使用 msfconsole 加载 rc 文件并设置参数 msfconsole
TriFive后门使用的是一个基于电子邮件的信道,这个信道可以使用Exchange Web服务(EWS)在被入侵的电子邮件帐号的已删除邮件夹中创建邮件草稿。...TriFive通过登录合法用户的收件箱并从“已删除邮件”文件夹中的电子邮件草稿中获取PowerShell脚本,从而提供了对Exchange服务器的持久化后门访问。...事实上,基于电子邮件的C2也在Hisoka工具中使用过,虽然Hisoka工具使用电子邮件草稿发送和接收数据,但这些草稿仍保留在草稿文件夹中,而TriFive后门则专门将其电子邮件草稿保存到“已删除邮件”...,并检查“已删除邮件”文件夹中主题为555的电子邮件。...脚本将打开电子邮件草稿,并使用Base64解码电子邮件消息正文中的内容,然后通过从每个字符中减去10来解密解码命令内容。
/lukebaggett/dnscat2-powershell 3、Gmail Gmail 为用户和企业提供电子邮件功能,这意味着大多数组织中都允许向 Gmail 服务器发送流量 可以使用 Gmail...作为命令和控制服务器:定期向 Gmail 收件箱发送信标,并检查是否有任何带有活动 ID 的新邮件。...大多数现代 Windows 都使用 PowerShell,并且通常管理员不会限制普通用户对 PowerShell 控制台的访问 工具: PoshC2:https://github.com/nettitude...Web 内容创作操作的 HTTP 协议的扩展 PROPFIND 方法用于检索存储在 WebDAV 服务器中的资源的属性:包括文件名、内容长度、创建和修改日期等 可以将payload放入PROPFIND...其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。
今天给大家介绍的是一款名叫Powershell-RAT的Python后门,它可以利用Gmail邮件附件来从目标用户的设备中提取数据。...这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。...注:本工具目前还不会被任何反病毒软件检测到,PowerShell-RAT的开发意图是为了进行安全教育并给研究人员提供实验工具,请不要将其用于恶意目的,否则后果自负。...选项4:该选项将使用Powershell从目标设备上发送电子邮件,并使用Mail.ps1脚本将提取到的数据+屏幕截图以邮件附件的形式进行发送。...工具界面 首次运行Powershell-RAT时你将会看到如下图所示的选项界面: ? 使用Hail Mary选项可以帮助你在目标Windows设备中安装后门: ?
它是通过恶意Word文档的鱼叉式网络钓鱼电子邮件传播的,目前无法获取其中的样本。它通过PowerShell脚本对目标进行渗透,该脚本从远程服务器下载隐藏在镜像文件中的有效负载。...目前确定了两个主要的开发分支:一个是发送url编码的POST数据,另一个是发送JSON数据,两者同时使用。...此C ++后门还提供与KingOfHearts类似的功能,并具有执行Powershell脚本的功能。 区别在于截图捕获功能直接嵌入在程序中,而不是由单独的程序处理。...植入程序在%TEMP%文件夹中创建一个自我删除程序,将其自身从文件系统中删除。 截至2020年,JackOfHearts仍用于部署QueenOfHearts。...恶意文档中包含伪装为Word文档的LNK文件,单击这些链接将执行Powershell后门,后门会隐藏在自定义Windows事件日志中,通过HTTPS,DNS,POP3S检索其他脚本。
研究人员在分析了数十亿次攻击后警告说,Microsoft Office宏,PowerShell等仍在通过网络钓鱼电子邮件分发攻击的网络罪犯中很受欢迎。...这些活动中的许多活动将通过声称需要使用功能来查看Microsoft Word或Microsoft Excel附件,使用社会工程学来鼓励受害者启用宏。...攻击者仍会定期将PowerShell滥用,以将其作为网络钓鱼电子邮件的最初立足点,从而获得对网络的访问。与涉及宏的攻击不同,这些攻击通常依赖于发送受害者以单击带有代码的链接来执行PowerShell。...攻击通常很难检测到,因为它们使用的是合法的Windows功能,这就是PowerShell仍然受到攻击者欢迎的原因。...有关最常见攻击技术的数据来自针对Proofpoint客户的活动以及对数十亿封电子邮件的分析。 Proofpoint研究人员在博客文章中说:“训练用户发现和报告恶意电子邮件。
通过SQL注入可获取CMS中的账号密码,登陆OWA发送钓鱼邮件获取权限,绕过Windows Defender依靠Apache服务完成提权。感兴趣的同学可以在HackTheBox中进行学习。...//www.exploit-db.com/exploits/41131 首先看看数据库的基本信息,当前数据库版本为 5.7.19,当前用户为 Dbuser@localhost id=engineer union...where table_name=0x7573657273-- 获取users表中字段username和password当中的数据 id=engineer union all select 1,username...Kain/doradaybendita 登录OWA并查看其中的邮件 在邮件中可以发现其中部署了 Open Office,但是计算机中 Windows Defender 已开启、PowerShell...msf.zip 解压后找到Basic/Standard/目录并编辑文件Module1.xml修改payload powershell.exe IEX (New-Object System.Net.Webclient
防病毒和EDR解决方案在检测和阻止攻击者方面已经走了很长一段路,但是牛批的黑客很可能通过各种奇技淫巧技术来规避这些控制措施。 防守方通常会忽略的一种方法——使用蜜罐帐户。...蜜罐帐户是一种策略性地定位在网络中的帐户,在这种情况下使用蜜罐帐户的主要目的是检测Kerberoasting(在@ myexploit2600的文章),根据我们在行业中的经验,这是在攻击之后使用的最常见的攻击媒介之一...这是攻击者在进行Kerberoasting攻击时将看到的内容,因此重要的是使其看起来像合法的东西,例如惰性sys管理员已将其放入Domain Admins组中的MSSQL服务帐户。...创建一个自定义事件视图,以识别何时为我们的蜜罐用户帐户请求Kerberos服务票证。这可以通过使用以下包含我们新创建的帐户的XPath查询来完成。...在最后一步中,我们将操作设置为启动powershell.exe,但是您应该将其更改为启动PowerShell脚本,该脚本通过电子邮件向管理员发送电子邮件,说明正在进行中的恶意活动也将禁用该帐户。 ?
执行 获得初始访问权限后,Kimsuky使用BabyShark恶意软件和PowerShell或Windows Command Shell执行。...其中,BabyShark是基于Visual Basic脚本(VBS)的恶意软件,往往通过包含链接或附件的电子邮件传递。...特权提升 在特权提升方面,Kimsuky使用的是众所周知的方法:将脚本放入Startup文件夹,创建和运行新服务,更改默认文件关联以及注入恶意代码。...防御规避 包括禁用安全工具,删除文件以及使用Metasploit等。 凭证访问 Kimsuky使用合法工具和网络嗅探器从Web浏览器、文件和键盘记录器中收集相关凭证。 ?...除此之外,KGH_SPY后门还可以从C2服务器下载辅助负载,通过cmd.exe或PowerShell执行任意命令,甚至可以从Web浏览器,Windows凭据管理器,WINSCP和邮件客户端中获取凭据。
文章目录 前言 一、CE 工具通过查找访问的方式找到子弹数据基地址 二、使用 OD 工具附加游戏进程 三、在 OD 工具中查看 058E2F1C 地址数据 前言 上一篇博客 【Windows 逆向】OD...调试器工具 ( CE 工具通过查找访问的方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具中查看 05869544 地址数据 ) 中 , 使用的 OD 工具不行 , 干岔劈了..., 本篇博客使用新的 OD 工具 ; 一、CE 工具通过查找访问的方式找到子弹数据基地址 ---- 使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ; 在之前的博客 【Windows...逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址 | 静态地址分析 | 完整流程 ) ★ 中 , 通过查找访问的方式 , 找出了子弹数据的静态地址...; 这里先使用 CE 查找到子弹数据的动态地址 , 然后再到 OD 中查找该动态地址对应的基地址 ; 先使用 CE 附加该进程 ; 然后打开之前的博客 , 分析出的数据 ; 此时可以得出 ,
恶意软件利用了反射动态链接库(DLL)注入的技术,也称reflective DLL加载,可以从内存注入DLL,不需要实际DLL文件,也不需要任何Windows加载程序即可注入。...脚本将其解码产生两个DLL,一个是勒索软件的x86版本(用于32位OS),另一个是x64版本(用于64位OS)。它会对运行环境进行检测,以便可以确定要使用的DLL版本: ?...它首先从kernell32.dll中找到所需功能的API地址: ? 然后计算内存地址: ? ? 脚本本身充当DLL加载程序,可以自行计算并解析定位其所需的内存地址。...然后指定要注入的进程,搜索正在运行的Windows资源管理器进程。 ? 通过以下代码将勒索软件DLL写入explorer.exe的内存空间并执行: ? 最后删除副本,防止受害者使用副本恢复文件。...以下是避免被勒索软件攻击的一些建议: 定期备份关键数据,减轻勒索软件攻击的影响; 安装来自操作系统和第三方供应商的最新软件补丁; 遵守良好的邮件和网站安全规范; 及时发现警告可疑的电子邮件和文件; 在端点上实施应用程序白名单
感染过程 第一个检测到的shellcode位于WININIT.EXE进程中,该进程能够从bitbucket[.]org下载二进制文件,并执行PowerShell脚本。在最初发现时,感染媒介是未知的。...如果没有管理权限,PowerShell脚本加载程序将被放置在HKCU\Software\Microsoft\Windows\CurrentVersion\Applets注册表项中,然后使用以下命令将其注册到...在PowerShell可用的两种情况下,该恶意软件归档本身的主体将被存储在注册表项Software\Microsoft\Windows\CurrentVersion\Shell中,由Base64编码,并通过上述...一旦凭据收集模块完成其任务,SSH感染程序就会启动,它会过滤SSH密钥和凭据的搜索结果,一旦找到,就激活专用线程。该线程的随机超时中断时间从10分钟到2小时不等,并启动渗透进程。...据报道,一名中国台湾网民因无法支付0.345比特币的勒索赎金以换取解密内容,决定通过提供的支持电子邮件地址与攻击者联系。他在邮件中坦率地解释了面临的困境,称其月收入只有400美元。
:“New Technology LM Hash”,MD4加密,Windows Vista和Windows Server 2003之后都是用这个 Hash散列可以通过在线数据库、彩虹表等来破解,也可以使用...要想在Windows操作系统中抓取散列值或明文密码,必须将权限提升至System (1)抓取 导出SAM文件和system文件,然后通过mimikatz或者Cain来从文件读取hash reg save...4、防范 防范措施: Windows Server 2012 R2新增了一个名为受保护的用户组(Protected Users),只要将需要保护的用户放入该组,攻击者就无法使用mimikatz等工具抓取明文密码和散列值了...、Exchange邮件服务器安全防范 电子邮件中可能包含大量的源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以从外网访问内网的V**账号密码等信息 Exchange支持PowerShell对其进行本地或远程操作...其团队从成立至今多次参加国际网络安全竞赛并取得良好成绩,积累了丰富的竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。
查看快捷方式的属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹中,因此暂存器将在下一次Windows登录中执行,并且将与命令和控制服务器建立连接。...默认情况下,此模块将使用写字板图标伪装成可信任的应用程序。 ? 快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...当用户进行身份验证时,将执行有效负载,并打开Meterpreter会话. ? PoshC2 PoshC2可以创建一个LNK文件并将其直接放置在Windows启动文件夹中以保持持久性。...Empire-写字板快捷方式快捷方式的目标字段将使用执行Base64有效负载的PowerShell命令填充。可以将快捷方式转移并移动到启动文件夹中以保持持久性。...Meterpreter会话.SharPersist – MeterpreterPoshC2PoshC2可以创建一个LNK文件并将其直接放置在Windows启动文件夹中以保持持久性。
信息收集然后接着继续去通过smb,和获取到的密码,获取更多的共享文件枚举共享文件看到文件列表find:Meeting_Notes_June_2018.html在 Firefox 中查看时就像电子邮件一样...打开与作为参数传递的数据库的 SQLite 连接,从 LDAP 表中读取数据,并解密密码。我决定通过调试恢复明文密码。图片看到解密的密码:WinRM登录继续使用WinRM来获取shell。...接着,我们发现Ldap可以匿名访问,并找到了r.thompson@cascade.local的信息。通过对其进行base64解密,我们成功拿到了该用户的密码。...如何从 AD 回收站恢复对象在 Windows Server 2012 之前,从 AD 回收站还原对象需要使用 LDAP 工具或 PowerShell 列出所有已删除的对象,筛选长列表以找到所需的对象,...然后,如果您需要恢复已删除的对象,您可以“仅”找到删除该对象之前进行的备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载的快照,找到该对象,然后将其导出……没关系。
信息收集 然后接着继续去通过smb,和获取到的密码,获取更多的共享文件 枚举共享文件 看到文件列表find: Meeting_Notes_June_2018.html在 Firefox 中查看时就像电子邮件一样...打开与作为参数传递的数据库的 SQLite 连接,从 LDAP 表中读取数据,并解密密码。 我决定通过调试恢复明文密码。...接着,我们发现Ldap可以匿名访问,并找到了r.thompson@cascade.local的信息。通过对其进行base64解密,我们成功拿到了该用户的密码。...如何从 AD 回收站恢复对象 在 Windows Server 2012 之前,从 AD 回收站还原对象需要使用 LDAP 工具或 PowerShell 列出所有已删除的对象,筛选长列表以找到所需的对象...然后,如果您需要恢复已删除的对象,您可以“仅”找到删除该对象之前进行的备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载的快照,找到该对象,然后将其导出……没关系。
0x1 主要思路 宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在Normal模板上。...我们通过工具生成一个有powershelldownloader功能的一个excel,victim服务器打开此excel之后会从CC服务器下载并执行一个基于powershell的payload到本地的计算机后就可以通过...victim端打开此文档后启用宏之后,会执行相关的宏代码连接到Metasploit的客户端,使用shell命令可以可以获得一个命令行对应的windows系统此时应该会拉起一个cmd.exe ? ?...待用户执行了宏代码之后,会调用windows系统的当中的wmi拉起powershell进行下载并连接远程CC端。 关键代码如下: ? 可以在第一个powershell.exe的启动参数找到痕迹 ?...添加到注册表的恶意代码如下: ? 通过抓包分析获取到的流量数据基本都是是乱码,流量分析起来有一定的困难。 ?
您可能会认为,使用已发布的补丁程序阻止管理员将凭据放入组策略首选项中,这将不再是问题,尽管在执行客户安全评估时我仍然在 SYSVOL 中找到凭据。...无论站点中是否有修补程序或 2012/2012R2 DC,它都会找到并定位易受攻击的 DC,并且可以正常工作。...IFM 与 DCPromo 一起使用以“从媒体安装”,因此被提升的服务器不需要通过网络从另一个 DC 复制域数据。...通过对虚拟化主机的管理员权限,可以克隆虚拟 DC 并离线复制相关数据。 获取对虚拟 DC 存储数据的访问权限,并有权访问域凭据。你运行 VMWare 吗?...IFM 与 DCPromo 一起使用以“从媒体安装”,因此被提升的服务器不需要通过网络从另一个 DC 复制域数据。
https://github.com/dxa4481/truffleHog Just-Metadata:一个收集和分析有关IP地址元数据的工具,并试图找到大型数据集内系统之间的关系。...从一个文件中提取元数据,包括数字签名,并注入到另一个文件中。...数据包并通过可选端口与Team Server进行交互。...https://github.com/dafthack/MailSniper WMIOps:PowerShell脚本,它使用WMI在Windows环境中的本地或远程主机上执行各种操作。...它不仅可以使用屏幕捕捉功能来跟踪用户的活动,而且还可以通过电子邮件附件来将提取出的数据发送给攻击者。
文章目录 一、CE 工具通过查找访问的方式找到子弹数据基地址 二、使用 OD 工具附加游戏进程 三、在 OD 工具中查看 05869544 地址数据 一、CE 工具通过查找访问的方式找到子弹数据基地址...---- 使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ; 在之前的博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据的动态地址 | 查找子弹数据的静态地址...| 静态地址分析 | 完整流程 ) ★ 中 , 通过查找访问的方式 , 找出了子弹数据的静态地址 ; 这里先使用 CE 查找到子弹数据的动态地址 , 然后再到 OD 中查找该动态地址对应的基地址 ;...先使用 CE 附加该进程 ; 然后打开之前的博客 , 分析出的数据 ; 此时可以得出 , 当前子弹的动态地址为 05869544 ; 二、使用 OD 工具附加游戏进程 ---- 尝试使用...运行 按钮 , 否则 游戏进程 会一直卡住 ; 三、在 OD 工具中查看 05869544 地址数据 ---- 在 OD 工具的 Command 命令框中 , 输入 dd 05869544
领取专属 10元无门槛券
手把手带您无忧上云