paradoxiaRAT是一款功能强大的本地Windows远程访问工具,该工具可以给广大研究人员提供如下表所示的功能:
链接:https://www.zhihu.com/question/27993498/answer/1014561869
关于Collect-MemoryDump Collect-MemoryDump是一款针对Windows的数字取证与事件应急响应工具,该工具能够自动创建Windows内存快照以供广大研究人员或应急响应安全人员进行后续的分析和处理。 项目提供的Collect-MemoryDump.ps1是一个PowerShell脚本文件,该脚本主要功能就是从一个活动的Windows操作系统中收集内存快照。 功能介绍 1、开始获取内存之前检查主机名和物理内存大小; 2、检查是否有足够的可用磁盘空间来保存内存转储文件
ImpulsiveDLLHijack是一款功能强大的DLL劫持技术安全研究工具,该工具基于C#开发实现,可以帮助广大研究人员以自动化的方式扫描、发现并利用目标设备二进制文件中的DLL安全问题,并实现DLL劫持。
今天给大家介绍的是一款名叫sRDI的注入工具,它可以基于Shellcode实现反射型DLL注入,并能够将DLL转换成独立的Shellcode。
JNI 的一般开发流程 1 定义好本地的 native 方法 2 javah 命令生成 .h 头文件 3 拷贝 xxx.h、jni_md.h、jni.h 到 VS 的工程目录并添加依赖进来 4 实现我们头文件中的 native 方法 5 生成 dll 动态,java 引入 dll 动态库运行即可 生成的 .h 文件参数详解 /* DO NOT EDIT THIS FILE - it is machine generated */ #include "jni.h"// "" 引入自己工程的头文件 <>
病毒木马植入模块成功植入用户计算机之后,便会启动攻击模块来对用户计算机数据实施窃取和回传等操作。通常植入和攻击是分开在不同模块之中的,这里的模块指的是DLL、exe或其他加密的PE文件等。只有当前植入模块成功执行后,方可继续执行攻击模块,同时会删除植入模块的数据和文件。模块化开发的好处不单单是便于开发管理,同时也可以减小因某一模块的失败而导致整个程序暴露的可能性。
在本文中,我们将简要介绍一下用户帐户控制,即UAC。我们还将研究它如何潜在地保护免受恶意软件的攻击并忽略UAC提示可能给系统带来的一些问题。
Nimbo-C2是一款功能强大的轻量级C2 框架,Nimbo-C2代理支持x64 Windows&Linux操作系统。该工具基于Nim和Python开发,其WIndows端使用了.NET组件。Nim的功能非常强大,但在跟Windows系统交互时使用PowerShell可能会更加简单,因此该工具的部分功能是基于PowerShell实现的。Nimbo-C2的Linux代理更加的精简,只能执行基本命令,其中包括ELF加载(通过memfd技术实现)等。
深度克隆:https://github.com/night-moon-studio/DeepClone
这是一个基于纯汇编语言绕过动/静态检测的Shellcode Loader,也可以直接当做免杀使用,使用了2048位秘钥的RSA进行防止逆向,可以有效避免被溯源,当然,需要携带秘钥作为启动参数
本文只是记录下基本操作。这些操作都是我在读 Cobalt Strike 官网的 CS 4.0 手册的过程中自己无中生有凭空想出来的,所以方法可能不是很主流,有点繁琐、操作较麻烦,但是也是我自己试了完全可行的。慢慢探索更简单的道路吧、本菜鸡对自己要求不是太高,注重对自己创造力的培养。
NanoDump是一款功能强大的MiniDump转储文件提取工具,在该工具的帮助下,广大研究人员可以轻松转储LSASS进程中的MiniDump数据。
2019年5月13日,国家市场监督管理总局、国家标准化管理委员会召开新闻发布会,等保2.0相关的《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》、《信息安全技术网络安全等级保护安全设计技术要求》等国家标准正式发布,将于2019年12月1日开始实施。
1. 面向对象的三个特性:继承‘封装和多态 继承:就是子类实现父类的属性和方法,并在此基础上进行相关的扩展. 多态是建立在重写的基础之上的,是类与类之间的关系,是发生在不同的类之间的,子类重写父类的方法。实现不同的子类,不同的实现形态。 多态有3个条件 1:继承 2:重写(重写父类继承的方法) 3:父类引用指向子类对象 而重载是类的内部的方法构型上的不同,是发生在同一个类里面的。同一个函数名称,参数不同的多个方法,实现同一类型的功能。 封装是OOP编程中的一个重要手段,就是指把具体实现的逻辑细节在内部隐藏起来,对外部只暴露公共的、规范的接口和调用方法, 从而隐藏实现细节,使在使用的时候不用去考虑其内部的运作模式等等具体细节。以后即使是要修改其逻辑也不会影响外部调用的, 称为封装,主要是为了降低组件之间的耦合度,以提高扩展性和维护性。 2. 接口和抽象类:
在大学大一的时候学的是C,然后后来大二的时候专业又开了C++这个课程,然后再后来自己又自学了一点VC++,大三的时候也试着编写过一个MFC的最简单的窗口程序。到大四的时候,自己又做了一个GIS的项目,是用C#.NET来编写的,然后发现C#上手好容易,而且还大部分语法规则都沿用了C,C++的习惯,于是觉得C++实在是没有一点优势可言啊。但这个暑假的实习经历又改变了我的观点:C++在写窗口程序虽然麻烦,但是却什么能做,而且对比C#来说,对运行环境的要求不高,不用像C#程序在安装之前还要安装100M多的运行.NET环境。C++和C#各有优缺,目前我对它们俩的定位是:C++用来写一些底层的程序,比如驱动,或者是一些算法类型的函数接口,然后用C#来调用这些接口并进行界面设计。如何函数的实现跨语言呢?显然DLL是个很重要的内容,故在此对VC++的DLL模块进行介绍。
到目前为止,已经学过了如何在有漏洞的目标上获取立足点的方法,接下来将继续学习后渗透相关的知识,这一节就来学习学习 beacon 的管理、会话传递等。
1. a. http协议在Linux的学习部分我们就已经学习过了,当时http和https是一块学的,我们当时其实已经了解了http的大部分知识内容,比如http请求和响应的格式,各自的报头字段都有哪些,cookie和session机制,http1.1的长连接策略keep-alive,还有请求方法GET和POST等等知识内容,这么看来http感觉已经很优秀了,为什么还要有websocket协议呢? b. 其实http有一个致命的缺点,就是无法支持服务器向客户端主动推送消息,传统的CS通信方式都是一问一答的,即客户端向服务器发送一个请求,服务器向客户端反馈一个响应,而在最传统的http1.0版本协议中,客户端每和服务器进行一次通信都需要建立一条TCP连接,当浏览器访问了服务器上的某个html网页时,此时就会在应用层协议http的基础上建立一条短连接,而http短连接其实就是tcp短链接,如果浏览器此时想要访问web网页中的其他资源,那就需要重新再向服务器发起一次http请求,以获取到服务器上的对应资源,此时原来的http连接就会自动被断开,然后重新建立一条短连接,这样的方式非常的难受啊,因为用户访问某web资源时,肯定不可能只访问一个资源啊,他一定会向服务器发起多个http请求,获取访问多个web资源,那如果在传统的http1.0协议下,就会频繁的建立和断开连接,这会很浪费服务器的时间和网络带宽,因为http短连接其实就是tcp短连接,本来tcp是一个可靠的,高效的,有链接的协议,但结果http不会用,双方通信一次就关闭掉了,这也太浪费了! c. 所以在http1.0之后,又推出了http1.1协议,也就是在请求报头中添加了一个字段Connection:keep-alive,也就是http长连接,当上层http连接建立成功后,下层的tcp连接不会在一次通信之后就断开了,而是会在一段时间之后才断开,在这段时间里面,双方都可以使用该连接进行资源的请求和获取,或者是业务的请求和处理,确实是比以前要高效的多了,但http1.1依旧还存在一个问题,就是他的通信模式还是没有变化的,也就是一问一答的通信模式,不过他已经比原来的http1.0要高效很多了,省去了很多不必要的tcp连接建立和断开,也减少浪费带宽。
守护进程,英文名:“daemon",也有守护神的意思。守护进程是一个在后台运行并且不受任何终端控制的进程,不会随着会话结束而退出。诸如 mysql、apache 等这类程序默认就提供了守护进程或者以守护进程的方式工作,我们熟悉的 “mysqld”、"httpd" 等其中的 d 就是 daemon 的意思。比如我们在 Linux 系统上以命令 dotnet xxx.dll 运行 .NET Core 应用程序时,如果我们结束会话,那么我们的程序将会结束运行。其原因是 Linux 系统中有一个信号机制,进程可以通过一系列信号进行通信,当用户结束会话时,会向当前会话的子进程发送一个 HUP 信号,一般情况下当前会话的子进程收到HUP信号以后就会退出自己。 这时我们就需要一个守护进程来管控我们的 .NET Core 应用程序进程。
Windows 凭据管理是操作系统从服务或用户接收凭据并保护该信息以供将来向身份验证目标呈现的过程。对于加入域的计算机,身份验证目标是域控制器。身份验证中使用的凭据是将用户身份与某种形式的真实性证明(例如证书、密码或 PIN)相关联的数字文档。
moonwalk是一款专为红队研究人员设计的痕迹隐藏工具,在该工具的帮助下,广大研究人员可以在针对Linux系统的漏洞利用或渗透测试过程中,不会在系统日志或文件系统时间戳中留下任何痕迹。
项目地址:https://github.com/xiaoxi666/mines_sweeper
今天的投稿人是鹅厂的Casta Mo 这里附上他的github链接... https://github.com/CastaMo 欢迎留言、转发! 1. 项目背景 我们前端团队近期在为腾讯云DSA业务搭建内部运营运维系统【简称YY-DSA】,既然是内部系统,我们就可以“为所欲为”地选技术栈,搭框架,但要遵循以下约定: - 项目架构清晰,各个模块各司其职、互不耦合或者尽可能降低耦合度。 - 在确保架构稳定的前提下,尽可能提升整体的效率,包括应用程序的效率以及研发流程的效率,而牺牲流程效率来换取程序效率
Vegile是一款针对Linux系统设计和开发的强大后渗透测试工具,该工具所提供的后渗透利用技术可以确保广大研究人员保持一定程度的访问权,并允许对目标可信网络执行更加深入的渗透测试与安全分析。
“ 精英人才培养计划是一项校企联合人才培养项目,入选学生将受到业界顶尖技术团队与高校导师的联合指导及培养。培养期间,学生将获得3个月以上到访腾讯开展科研访问的机会,基于真实产业问题及海量数据,验证学术理论、加速成果应用转化、开阔研究视野。同时项目组将引进沟通技巧、商业分析、创新思维等定制课程,定期举办线上线下交流活动,全面提升学生综合素质。入选学生还将获得线上实名社群平台“十分精英圈”的在线访问权限,结识志同道合的科研伙伴,获取业界信息及资源。 ” 今年共有10大方向 81个子课题供大家选择 总有一
Evasor是一款专为蓝队和红队研究人员设计的安全工具,该工具可以用于渗透测试任务中的后渗透接断,并能够帮助研究人员绕过APPLICATIONCONTROL策略。
关于PersistBOF PersistBOF是一款针对Windows系统安全的持久化工具,该工具能够以自动化的形式实现常见的持久化技术。当前版本的PersistBOF支持Print Monitor(系统服务)、Time Provider(网络服务)和启动目录快捷方式劫持(用户服务)等。 PersistBOF所实现的所有技术都依赖于一个DLL文件,这个DLL文件会以分布式的形式存储到目标系统 磁盘中。 工具下载 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https:
最近在开发一个MVC框架,开发过程中考虑到以后开发依托于框架的项目,为了框架的维护更新升级,代码肯定要和具体的业务工程分割开来,所以需要解决业务工程挂载在框架工程的问题,MVC与传统的ASP.NET不同,WebForm项目只需要挂在虚拟目录拷贝dll就可以访问,但是MVC不可能去引用工程项目的dll重新编译,从而产生了开发一个动态挂在MVC项目功能的想法,MVC项目挂载主要有几个问题,接下来进行详细的分析与完成解决方案
Chimera是一款带有EDR规避功能的自动化DLL侧加载工具,在该工具的帮助下,广大研究人员可以在渗透测试过程中,绕过EDR的检测并实现自动化DLL侧加载。
Microsoft 的“ Windows 反恶意软件扫描接口 (AMSI) 是一种多功能接口标准,允许您的应用程序和服务与计算机上存在的任何反恶意软件产品集成。AMSI 为您的最终用户及其数据、应用程序和工作负载提供增强的恶意软件防护。”
最近,我在做一个外网渗透测试的过程中,发现了SolarWinds文件共享程序Serv-U的一个漏洞,通过该漏洞我获得了Serv-U的管理权限,并能以系统用户身份执行远程代码,成功完成操作系统提权。 在
通过常用的api来创建进程是常规启动进程的方式,最常用的几个api有WinExec、ShellExecute、CreateProcess,我们一个一个来看一下
Step1:下载该项目,之后使用VS编译Monitor.cpp,当然也可以使用编译好的,Monitor.cpp代码如下所示:
由于众所周知的原因,OpenAI 的 API 在国内访问困难,因此目前出现了一批二手 API 卖家,但是这些二手 API 卖家的稳定性存疑。
LightsOut是一款功能强大的DLL生成工具,该工具可以帮助广大研究人员轻松生成经过混淆处理的DLL。该工具专为红队研究人员设计,生成的DLL可以在研究人员尝试绕过反病毒产品时禁用AMSI和ETW,从而更好地测试目标系统的安全性。
这次我们来探究beacon里每个功能点是如何实现的,以便日后更好地实现自定义beacon。因为有近百个相关功能点,所以文章就分了上下两部分。
Havoc已经在Debian 10/11、Ubuntu 20.04/22/04以及Kali Linux操作系统上进行过完整测试。我们建议大家使用最新版本的Havoc以避免遇到其他问题。除此之外,建议使用最新版本的Qt和Python 3.10.x来完成代码构建。
CrackerJack是Hashcat的Web GUI实现,该项目基于Python编程语言开发,旨在维持Hashcat工具独立的情况下实现GUI接口。简而言之,CrackerJack能够实现下列功能:
OpenShift的OVS网络组件有三种模式:ovs-subnet、ovs-multitenant、ovs-networkpolicy。
关于Kage Kage是一款针对Metasploit RPC服务器的图形化用户交互工具,该工具可以帮助广大研究人员通过图形化的用户UI界面与Meterpreter会话进行交互,并生成Payload。需要注意的是,当前版本的Kage仅支持windows/meterpreter和android/meterpreter。 工具要求 本地设备上安装并配置好了Metasploit-Framework,PATH环境变量中包含下列组件: Msfrpcd Msfvenom Msfdb 工具安装 预编译
Gank平台的移动端又来了,非常感谢Gank平台开放接口,让我们这些小白有机会练手、学习。
近日研究人员发现,在过去一年间,一个复杂的且极可能由国家民族支持的威胁行为者一直在利用面向公众的ASP.NET应用程序中的反序列漏洞来部署无文件恶意软件,从而危害一些主要的公共和私营组织。
先上结论,如果你遇到了_ITERATOR_DEBUG_LEVEL doesnt match error,那一定是你链接的库的DEBUG或RELEASE版本与你当前的项目活动配置不符。不同的值代表的含义如下:
LOLBITS是一款C#反向Shell,它使用了微软后台智能传输服务(BITS)作为传输信道来与后端命令控制服务器进行交互。后台的命令控制服务器基于Flask Web应用程序构建,并且只能通过包含了有效认证Header的HTTP请求来与之通信。
在这种场景下,烟草物流系统产生包含需要提供信息的文件,然后再由相关集成系统来通过访问文件获取信息。集成部分主要作用是将文件根据应用的不同需要做格式的转换。采用文件传输的方式,需要关注文件的格式,考虑到不同应用系统传递消息的具体样式不一致,烟草物流系统应用产生的文件不一定能够给相关集成应用。一些常见的方法是传递XML或者JSON格式的文本,在一些UNIX系统里面也可以通过纯TXT文本传递信息的。
spring boot 的项目是将静态资源打包到.jar 的文件包中, 项目中有碰到需要使用外部静态资源的情况,使用外部资源的一直老出问题,查了google 后发现是指定的方式不对。
在这篇文章中,我们将告诉大家如何使用活动目录服务接口(ADSI)并结合C/C++来实现Cobalt Strike的活动目录枚举。现在很多环境下都会对PowerShell和.NET程序进行非常严格的监视,而本文所介绍的技术也许可以帮你们躲避这些机制的检测。
码云项目推荐 互联网的兴起,让网络程序有了长足的发展,让我们可以通过网络编程在程序中实现计算机的通信。举个例子,当你使用浏览器访问码云时,你的计算机就和码云的某台服务器通过互联网连接起来了,然后,码云的服务器把网页内容作为数据通过互联网传输到你的电脑上。 当然,对于 C++ 网络编程的初学者,小编推荐下面6个还算不错的开源项目,希望大家能够有所收获哦 :-) / 01 / 项目名称:基于C++11 的高性能网络服务器 evpp 项目简介: evpp 是一个基于 libevent 开发的现代化 C++11
配置该环境主要是配合 Android 进行开发 , 目前 Android 中调用 C/C++ 代码使用的都是 CMake 构建项目 , 因此在次数 VS 中要使用 CMake 构建 FFMPEG 的开发环境 ;
领取专属 10元无门槛券
手把手带您无忧上云