关于mimic mimic是一款针对进程隐藏的安全工具,在该工具的帮助下,广大研究人员可以通过普通用户身份来在Linux操作系统(x86_64)上隐藏某个进程的执行。...使用的是一种名为“Covert execution”的技术,这种技术是一种隐藏进程的方式。在这种情况下,mimic会将进程隐藏起来,mimic可以启动任何程序,并使其看起来像任何其他程序。...任何用户都可以使用它,它不需要特殊权限,也不需要特殊的二进制文件。除此之外,它也不需要root kit。...,我们将以常规用户启动一个netcat监听器: empty@monkey:~$ ....这将允许我们选择进程列表中我们所希望进程出现的位置。需要注意的是,内核为内核线程保留了前300个pid。如果你试图低于这个值,你可能最终会得到进程pid 301。
就可以模拟 windows 的安全提示窗口,要求用户输入凭证,在启动之前需要将必要文件上传至 web 服务器,该程序会将结果发送至远程服务器,然后远程服务器将收到的结果保存在文本文件中,可以将 Powershell...在执行 BAT 文件之前,需要将服务器地址添加到相应的 powershell、php 文件中,执行之后在目标系统上显示的窗口如下: ? 只有当提供的凭据正确时,弹出窗口才会消失。...set URIPATH / 使用下面的 powershell 代码创建输入提示符窗口,并将凭据通过 HTTP 请求发送至远程 Metasploit 服务器,从而获取凭证: 为了方便操作,需要将以上代码转为...通配符 * 指示模块监视系统上运行的所有进程,只要有新的进程启动,就会弹出输入提示框: ?...输入提示框作为该进程需要认证作为提示展示给用户,要求输入凭证,如果设置的进程不合理,很容易被人发现异常: ? 当用户输入凭据时,捕获到凭证将显示在控制台: ?
PowerShell v3采用新的cmdlet让管理员能够更深入到系统进程中,这些进程可以制作成可执行的文件或脚本(script)。...Powershell版本特性 PowerShell V2 PowerShell V2提供事件记录能力,可以协助蓝队进行相关的攻击事件推断和关联性分析,但是其日志记录单一,相关Post-Exploitation...由于PowerShell在Linux和MacOS等操作系统上的支持在MacOS上安装(pwsh),处于安全性考虑日志记录作为必不可少的一部分,PowerShell使用本机os_log API登录Apple...作为PowerShell 7的一部分,Microsoft在之前的日志记录基础上,增加了一种安全使用本地或远程存储中的凭据的方法,以便不需要将密码嵌入到脚本中。...500 501 在profile.ps1中需要$ LogCommandLifeCycleEvent = $ true 命令“Write-Host”已启动。
因此,在PrivescCheck脚本中我们考虑了以下几个方面: 1、不使用类似accesschk.exe之类的第三方工具; 2、不使用类似whoami.exe或netstat.exe之类的Windows...内置命令; 3、不使用类似sc.exe或tasklist.exe之类的Windows内置工具; 4、不使用WMI; 5、必须兼容PowerShell v2; 工具下载 广大研究人员可以使用下列命令将项目源码克隆至本地...Invoke-UserCheck - 获取当前用户的用户名和SID Invoke-UserGroupsCheck - 枚举当前用户所属的组(默认组和低特权组除外) Invoke-UserPrivilegesCheck...- 检查存储在Winlogon注册表项中的凭据 Invoke-CredentialFilesCheck - 枚举存储在当前用户AppData文件夹中的凭据文件 Invoke-VaultCredCheck...- 枚举保存在凭据管理器中的凭据 Invoke-VaultListCheck - 枚举保存在凭据管理器中的web凭据 Invoke-GPPPasswordCheck - 枚举包含非空“cpassword
PowerCatPowerShell版的NetCat,有着网络工具中的“瑞士军刀”美誉,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,读者可以在脚本中以多种方式使用它。...,它内置在Windows 7版本及其以上的系统中,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。...在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。...WindowStyle Hidden:隐藏窗口 NoLogo:启动不显示版权标志的PowerShell NonInteractive(-NonI):非交互模式,PowerShell不为用户提供交互的提示...注入远程进程 Invoke-Shellcode.ps1 将shellcode插入您选择的进程ID或本地PowerShell中 Invoke-WmiCommand.ps1 在目标主机使用wmi执行命令 Exfiltration
PowerCatPowerShell版的NetCat,有着网络工具中的“瑞士军刀”美誉,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,读者可以在脚本中以多种方式使用它。...1.PowerShell简介 Windows PowerShell 是一种命令行外壳程序和脚本环境,它内置在Windows 7版本及其以上的系统中,使命令行用户和脚本编写者可以利用 .NET Framework...在渗透测试中,基本每一次运行PowerShell脚本时都要使用这个参数。...WindowStyle Hidden:隐藏窗口 NoLogo:启动不显示版权标志的PowerShell NonInteractive(-NonI):非交互模式,PowerShell不为用户提供交互的提示...注入远程进程 Invoke-Shellcode.ps1 将shellcode插入您选择的进程ID或本地PowerShell中 Invoke-WmiCommand.ps1 在目标主机使用wmi执行命令 Exfiltration
Linux版本将该信息隐藏在位于用户主目录中的随机隐藏文件夹中。...凭据收集程序 该模块运行一个专用线程,每两小时运行一次定期扫描。在扫描过程中,它会从所有活跃用户收集一系列敏感信息。...以下是对任务的简要描述: 获取屏幕截图,并列出在那一刻可见的所有窗口。 使用给定的命令行执行进程,重定向其输出,并使用正则表达式对其进行过滤。 记录麦克风输入。...一旦凭据收集模块完成其任务,SSH感染程序就会启动,它会过滤SSH密钥和凭据的搜索结果,一旦找到,就激活专用线程。该线程的随机超时中断时间从10分钟到2小时不等,并启动渗透进程。...这种欺骗性的外观甚至包括对伪装的可执行文件的版本信息和进程图标的更改。主模块中的恶意软件功能定期监视木偶挖掘进程,并在必要时重新启动它。
在默认情况下,Windows 系统中启动一个进程会继承父进程的令牌。如果父进程是管理员权限,那么子进程就是管理员权限;如果父进程是标准用户权限,那么子进程也是标准用户权限。.../env 要使用当前环境,而不是用户的环境。 /netonly 只在指定的凭据限于远程访问的情况下才使用。...关于如何在程序中判断当前是否以管理员权限运行,可以阅读我和林德熙的博客: dotnet 判断程序当前使用管理员运行降低权使用普通权限运行 - 林德熙 在 Windows 系统上降低 UAC 权限运行程序...提权运行或者降权运行 我以标准用户权限和管理员权限分别启动了一个 PowerShell Core,然后准备在这两个窗口里面分别启动我的检测管理员权限的程序。...\Walterlv.Demo.exe 运行发现,非管理员的 PowerShell 启动的是非管理员权限的进程;而管理员的 PowerShell 启动的是管理员权限的进程。
除了PowerShell脚本的默认主机之外,脚本还可以在加载PowerShell框架库的其他进程中执行。要查看该行为,观察模块负载以及进行分析以提供其他上下文,从而为检测提供支持。 2....“注册表run key/启动文件夹”是实现持久化的关键动作 在注册表的“run keys”或启动文件夹中添加一个条目,将会导致用户登录时,该程序会运行该条目。...凭据转储是攻击者访问目标组织中的用户帐户和其他资源的共同需求。攻击者还利用转储的凭据来实现权限提升和横向移动。...凭据对于攻击者而言是如此重要,以致在许多情况下,获取用户名和密码不仅是达到目的的手段,而且是攻击的整个目标。因此,在各种犯罪论坛上,凭据都是可出售的商品,并且有些网站可以追踪公开的凭据转储情况。...虽然有很多方法可以提高特权级别,但是最有效和可靠的方法之一是使用具有特定级别权限的人员的合法凭据。 凭据可以从内存中以纯文本格式提取。监视对特定进程的访问可以为防御者提供一种检测凭据转储的方式。
启动另一个脚本 48551.bat: 通过进程注入,进一步拉取可执行文件。 http://morningstarlincoln.co.uk/的 IP 地址为 79.170.44.146。...\46a66dd53b3040)旨在隐藏攻击者。...此外还会使用 GetTickCount 和 IsDebuggerPresent 进行反分析。...Neurevt 会监视来自对话框、消息框、菜单或滚动条中的按键和鼠标活动的输入事件而生成的消息。...该木马可以访问操作系统、用户帐户信息、银行网站凭据、截取屏幕截图并连接到 C&C 服务器以窃取知识产权和个人信息等。该木马可能会影响个人用户和组织导致数据泄露或声誉受损,最终导致重大损失。
Dump lsass 进程 在powershell中使用Out-Minidump Dump lsass 进程 直接使用任务管理器转储文件 comsvcs.dll转储文件 任务管理器转储文件只需要当前用户是管理员组内账户即可...通过带有 /netonly的runas 凭据登录 #注,这里的用户并不是有效的用户,任意的用户即可 #尽管以用户的身份登录,但是日志中登录类型为9,表示源自新进程的任何网络连接都使用下凭据 ?...在Powershell中设置注册表 Powershell中也能完整上述类似效果。...,通用凭据可由用户进程进行读取和写入。...Security Support Provider(安全支持提供者),简称SSP,其具体实现为一个DLL,这些DLL在系统启动时注入到 lsass.exe 进程中,或者通过AddSecurityPackage
当前登录用户(隐式凭据)用于连接,3.使用EnableNetworkAccess开关参数。...计算机名存储在变量“$names”中`Get Credential`提示您输入用户名和密码,并将值存储在变量“$Creds”中`Restart Computer`使用ComputerNameCredential...基础使用 # 1.此示例启动一个进程,该进程使用当前文件夹中的Sort.exe文件。...该命令使用所有默认值包括默认窗口样式、工作文件夹和凭据。...Start-Process -FilePath "powershell" -Verb RunAs # 6.此示例演示如何查找启动进程时可以使用的动词,可用的谓词由进程中运行的文件的文件扩展名决定。
访问令牌:根据 Microsoft 的文档:访问令牌是描述进程或线程的安全上下文的令牌中的信息包括与进程或线程关联的用户帐户的身份和权限。...当用户登录时,系统通过将其与存储在安全数据库中的信息进行比较来验证用户的密码。当用户的凭据通过身份验证时,系统会生成访问令牌。代表此用户执行的每个进程都有此访问令牌的副本。...以另一种方式,它包含您的身份并说明您可以在系统上使用和不能使用的内容。在不深入研究 Windows 身份验证的情况下,访问令牌引用登录会话,这是用户登录 Windows 时创建的。...执行程序 PsExec来自微软的 Sysinternals套件,允许用户使用命名管道通过端口 445 (SMB) 在远程主机上执行 PowerShell。...在 Cobalt Strike 中,在使用 wmic 时经常会遇到这种情况,解决方法是为该用户制作一个令牌,以便随后能够从该主机传递凭据。
Powershell 降级攻击 在之前的博客文章中,我谈到要尽可能避免使用 PowerShell v2,因为它提供了不记录日志的功能,理想情况下应该部署 PowerShell v5.x 或更高版本,因为它提供了更好的日志记录功能...V2 那么就可以跳过此过程,通常卸载 powershell V2 可以在控制面板中通过程序和功能手动卸载,也可以使用下面的 powershell 命令来卸载: Disable-WindowsOptionalFeature...,那么我们可以使用 EventSentry 终止那些在命令行中使用 -version 2参数的 powershell 进程。...,因为 powershell 的执行好都是很短的时间,在使用 powershell V2 出发终止时,正常的 powershell 进程很大可能不会同时存在。...进行攻击,在后续活动中可以下载一个隐藏的应用程序来躲避监控,维持权限。
欺骗凭证提示是一种有效的权限提升和横向移动技术。在 Windows 环境中遇到 Outlook、VPN 和各种其他身份验证协议看似随机的密码提示并不罕见。...攻击者将滥用 Windows 和 PowerShell 中内置的功能来调用凭据弹出窗口来获取用户密码。...CredPhish 是一个 PowerShell 脚本,旨在调用凭据提示和泄露密码。...必须是 2-60 之间的偶数,否则查询会中断 要拦截使用 DNS 过滤功能发送的凭据,请 在 Kali 中执行 dns_server.py脚本。...,请在 Kali 中启动一个简单的 HTTP 服务器以在日志中捕获它们。
0x00前言 我在最近的学习过程中,发现PowerShell的命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对PowerShell的的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法...view=powershell-3.0 默认Powershell v2及以上支持能够记录当前会话中输入的命令,多个PowerShell的进程之间不共享,Powershell的进程退出后自动清除所有记录。...的进程中的历史记录。...(2)Powershell的进程能够接收键盘输入命令这里可以模拟发送键盘消息,导出历史记录程序实现思路: 通过遍历枚举所有窗口 通过GetWindowThreadProcessId从窗口(HWND)获得...Powershell v3和Powershell v4的安装和使用 这里以64位系统为例,安装方法如下: (1)安装PowerShellGet 下载:https://www.microsoft.com/
agscript:扩展应用的脚本 c2lint:该文件主要检查profile的错误和异常 teamserver:服务端启动程序 cobaltstrike.jar:CobaltStrike...(3)常用命令 argue 进程参数欺骗 blockdlls 在子进程中阻止非Microsoft的DLLs文件 ... link 通过命名管道连接到Beacon logonpasswords 使用mimikatz转储凭据和哈希值 ls...使用服务在主机上生成会话 psexec_psh 使用PowerShell在主机上生成会话 psinject 在特定进程中执行...mimikatz转储明文凭据 winrm 使用WinRM在主机上生成会话 wmi 使用WMI在主机上生成会话
其中也有许多功能会被滥用,被滥用时这些功能没有看起来那么好了: 键盘记录 使用浏览器 User-Agent 伪装网络流量 捕获屏幕截图 在 Web 浏览器中访问凭据 Netwire 允许通过代理转发流量...在任何使用与 Freedesktop.org 的 XDG 兼容的类 Unix 桌面操作系统中,都可以添加自启动项在桌面加载时执行程序或脚本。...详细分析 我们在 VirusTotal 上查看了 Netwire 的样本,我们将其下载下来进行详细地分析。 执行样本后,注意到样本将自身复制到一个隐藏文件夹中,并从该隐藏文件夹中启动。 ?...并未内置计划任务,通常由部署 Netwire 的另一种机制实现 进程注入(T1055) 防御逃避、权限提升 使用进程注入逃避检测 代码注入系统进程如 notepad.exe、svchost.exe 和...vbc.exe 中 输入捕获(T1056) 信息收集、凭据访问 Netwire 可以执行键盘记录 进程发现(T1057) 发现 Netwire 可以发现并中止受控主机上的进程 命令行界面(T1059
中运行窗口的命令 Windows中的注册表 使用reg保存注册表中的sam、system、security文件 Windows中的端口 Windows中的进程 监听端口netstat Windows反弹...但是在Server 2003使用会有问题。也就是说,以下命令是在Win7及其以后的机器使用。...,该进程的正常运行能够确保在桌面上显示桌面图标和任务栏 lsass.exe:该进行用于windows操作系统的安全机制、本地安全和登录策略 services.exe:该进程用于启动和停止系统中的服务,如果用户手动终止该进程...,系统也会重新启动该进程 smss.exe:该进程用于调用对话管理子系统,负责用户与操作系统的对话 svchost.exe:该进行是从动态链接库(DLL)中运行的服务的通用主机进程名称,如果用户手动终止该进程...,系统也会重新启动该进程 system:该进程是windows页面内存管理进程,它能够确保系统的正常启动 system idle process:该进行的功能是在CPU空闲时发出一个命令,使CPU挂起,
令牌中的信息包括与进程或线程关联的用户帐户的标识和特权。当用户登录时,系统通过将用户密码与安全数据库中存储的信息进行比较来验证用户密码。验证用户的凭证后,系统将生成访问令牌。...代表该用户执行的每个进程都有此访问令牌的副本。 换句话说,它包含您的身份并说明您可以在系统上使用或不能使用的功能。...PsExec PsExec来自Microsoft的Sysinternals套件,允许用户使用命名管道通过端口445(SMB)在远程主机上执行Powershell。...在Cobalt Strike中,使用wmic时通常会遇到这种情况,解决方法是为该用户创建令牌,因此可以从该主机传递凭据。...Strike中,有一个Aggressor Script扩展程序,该扩展程序使用MSBuild执行Powershell命令,而不会通过不受管进程(二进制直接编译成机器代码)而生成Powershell。
领取专属 10元无门槛券
手把手带您无忧上云