前一篇介绍分享英文论文审稿意见及应对策略的学习笔记。这篇文章将简单总结Powershell恶意代码检测及混淆的相关论文,并结合开源工具分享抽象语法树提取过程。
在使用Windows的Windows Remote Management (WinRM)服务与PowerShell交互时,经常会遇到CLIXML(即CLI XML)格式的数据。这种格式用于序列化和传输由PowerShell脚本生成的复杂数据对象。对于使用Python进行自动化任务的开发人员来说,理解如何解析CLIXML数据是一个重要的技能。本文将介绍如何在Python中处理和解析CLIXML数据,并提供一种方法来从数据中提取有效信息。
最近看到新版的Office Web Apps Server开放下载了,貌似还是免费的,于是果断下载了。
DOM(文档对象模型)是由W3C制定的一套访问和操作XML(eXtensible Markup Language)文档的标准,即API。比如DOM告诉JavaScript引擎如何在浏览器窗口中显示和操作XML创建的标记(Tag)。
前一篇总结了Powershell恶意代码检测相关研究,并结合开源工具分享抽象语法树提取过程。这篇文章将详细讲解CCS2019的Powershell去混淆工作,这篇文章质量非常高,来自于浙江大学的李振源老师。我将从他在InforSec分享的视频和论文原文阅读两个方面进行讲解,希望您喜欢。
z9是一款功能强大的PowerShell恶意软件检测与分析工,该工具可以帮助广大研究人员从PowerShell日志的事件记录中检测基于PowerShell实现的恶意软件组件。
最近在实战过程中遇到了组策略,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。
组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
微软官网:PowerShell 是构建于 .NET 上基于任务的命令行 shell 和脚本语言。 PowerShell 可帮助系统管理员和高级用户快速自动执行用于管理操作系统(Linux、macOS 和 Windows)和流程的任务, 其实可以看做是C#的简化版本还与PHP语言有相似之处(语法),与我们可以采用ISE 集成脚本环境进行PS脚本脚本编写;
Tips : 非常注意Replace中得[Regex]类里面有个Escape静态方法非常方便我们进行禁用正则解析。
背景 早就听说微软的powershell非常强大,凭借它可以全命令行操控windows服务器了。最近终于要在工作中用到它了,于是花了几个小时将powershell的基础教程看了下,这里将学习过程中的一些要点记录一下。 环境准备 欲善其事,先利其器,先准备一个开发环境。 个人的开发电脑是macOS 11.13.3,为了开发powershell脚本,在本机安装了一个windows 7 sp1的虚拟机。 升级powershell版本 win7自带的powershell版本较低,这里将windows 7 sp1里自
本文将为大家详细介绍如何在只能访问远程桌面服务,且有 AppLocker 保护 PowerShell 处于语言约束模式下获取目标机器 Empire shell。PowerShell 处于语言约束模式,可以防止大多数PowerShell 技巧的使用。另外,还有 Windows Defender 也是我们必须要面对和解决的问题。
在最初的时候,Powershell 是设计运行在windows机器上实现系统和应用程序管理自动化的命令行 脚本环境。Windows Powershell V1诞生与2006年,你可以把它看成是命令行提示符cmd.exe的扩 充,不对,应当是颠覆。powershell需要.NET环境的支持,同时支持.NET对象。微软之所以将 Powershell 定位为Power,并不是夸大其词,因为它完全支持对象。其可读性,易用性,可以位居 当前所有shell之首。
最近在某次系统更新后我的Win10系统遇到了这个在任务管理器中找不到GPU的问题,在网上搜寻了一圈,发现可能导致这个问题的原因有很多,但是大部分都不能解决我的问题,所以在这里总结一下,我自己使用的解决方法是第四个,很大概率是由于自己乱删C盘文件导致的。
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。
描述: 当我第一次开始学习 PowerShell 时,如果无法使用 PowerShell 单行命令完成任务我会回到 GUI 找寻帮助。然后着时间的推移,我逐渐掌握了编写脚本、函数和模块的技能。
近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。问题在于攻击性 PowerShell 不再是一个新概念,即使是中等成熟的商店也会检测到它并迅速关闭它,或者任何半体面的 AV 产品都会在运行恶意命令之前将其杀死。横向移动的困难在于具有良好的操作安全性 (OpSec),这意味着生成尽可能少的日志,或者生成看起来正常的日志,即隐藏在视线范围内以避免被发现。这篇博文的目的不仅是展示技术,但要显示幕后发生的事情以及与之相关的任何高级指标。我将在这篇文章中引用一些 Cobalt Strike 语法,因为它是我们主要用于 C2 的语法,但是 Cobalt Strike 的内置横向移动技术是相当嘈杂,对 OpSec 不太友好。另外,我知道不是每个人都有 Cobalt Strike,所以在大多数示例中也引用了 Meterpreter,但这些技术是通用的。
Citrix Receiver 是一种轻便的通用软件客户端,并带有类似浏览器的可扩展“插件”架构。Receiver 标 配 有 多 种 可 选 插 件 , 可 在 Citrix Delivery Center 产 品 系 列 ( 如 :XenApp 、 XenDesktop 、 Citrix Access Gateway 和 Branch Repeater)中与前端基础设施进行通信。这些插件支持的功能包括在 线和离线应用、虚拟桌面交付、安全访问控制、密码管理、应用加速、多媒体加速、 服务级监测以及语音 通信。
TIPS: 默认键入一个字符串PS会将它原样输出,如果该字符串是一个命令或者启动程序,在字符串前加‘&’可以执行命令,或者启动程序。
Cmdlets 用于服务器的管理方面主要体现在4个方面:服务、日志、进程、服务器管理器。
Citrix Receiver是一种轻便的通用软件客户端,并带有类似浏览器的可扩展“插件”架构。Receiver标配有多种可选插件,可在Citrix Delivery Center产品系列,如:XenApp、XenDesktop、Citrix Access Gateway和Branch Repeater中与前端基础设施进行通信。这些插件支持的功能包括在线和离线应用、虚拟桌面交付、安全访问控制、密码管理、应用加速、多媒体加速、 服务级监测以及语音通信。
最近在倒腾WPF的项目,试着搜一下微软官方提供的WPF Smaples, 结果找到了https://github.com/Microsoft/WPF-Samples. 当然还发现了Cortana相关的开源资料http://microsoft.github.io/UWPQuickStart/docs/challenges/cortana-integration.html和UWP资源http://microsoft.github.io/UWPQuickStart/docs/resources.html.
[TOC] 0x00 PS 编程基础 脚本注释 在PS中采用 #字符进行注释 调用优先级 Powershell调用入口的优先级: 别名:控制台首先会寻找输入是否为一个别名,如果是执行别名所指的命令。因此我们可以通过别名覆盖任意powershell命令,因为别名的优先级最高。 函数:如果没有找到别名会继续寻找函数,函数类似别名,只不过它包含了更多的powershell命令。因此可以自定义函数扩充cmdlet 把常用的参数给固化进去。 命令:如果没有找到函数,控制台会继续寻找命令,即cmdlet,powersh
Hexo 的运行需要 Node.js 和 Git 的支持,首先需要下载 win 下的 Git 组件:Git 下载地址,安装 win 下的 Node.js,这里选择安装 Node.js 的 LTS 版本即可:Node.js 下载地址
Win10如何在右键菜单中添加“在此处打开命令窗口”设置项?在Win10创意者更新中,命令提示符已被Powershell取代,然而很多用户并不适应,如果大家还是想继续使用命令提示符,那么可以在桌面右键菜单中添加“在此处打开命令窗口”设置项,那么该如何操作呢?具体步骤请看下文。
任务计划程序服务(Task Scheduler service)是Windows操作系统中的一个核心服务,它负责管理和执行计划任务。任务计划程序服务(Task Scheduler service)在后台运行,并由 svchost.exe 进程来托管。任务计划程序服务允许用户创建、编辑和删除计划任务。用户可以通过图形用户界面(Task Scheduler GUI)、命令行工具(如schtasks)或编程接口来管理计划任务,用于在预定的时间或特定事件发生时自动执行一系列任务。
如果尚未开始使用 Windows PowerShell,很可能您很快就会用到它。Windows PowerShell 将成为 Windows Server 领域的核心管理工具。对于初学者,它已成为 Exchange Server 2007 基于脚本管理的基础。 为以原有格式充分利用 Windows PowerShell,您需要记住大量语法、cmdlet 和通用结构, 有个工具可以用来查看PowerShell cmdlets的帮助信息。 下载地址: http://www.primaltools
利用Windows自带的解析器:PowerShell、VBScript、批处理文件和JavaScript,对应的应用程序分别为powershell.exe、cscript.exe、cmd.exe和mshta.exe。利用上传或远程加载对应payload脚本,直接调用解析器运行(可以使用Invoke-Obfuscation或者 Invoke-DOSfuscation 等进行混淆) 用Windows自带的工具或脚本等原生工具实现执行恶意代码、启动程序、执行脚本、窃取数据、横向扩展、维持访问等,常用的有regsvr32.exe、rundll32.exe、certutil.exe、schtasks.exe、wmic.exe等,脚本类型的有:winrm.vbs、wmiexec.vbs、pubprn.vbs等
这是一篇对之前 《利用AutoSPSourceBuilder和Autospinstaller自动安装SharePoint Server 2013图解教程——Part 2》的补充。本篇博客将对AutoSPSourceBuilder的使用进行说明。 AutoSPSourceBuilder介绍 下载AutoSPSourceBuilder 点击进入AutoSPSourceBuilder的官网,找到最新版本,然后下载。解压后文件夹内包含两个文件:AutoSPSourceBuilder.ps1为我们需要运行的Po
在上一篇文章《和孩子斗智斗勇-如何限制只运行上网课的程序(Windows篇)》中,我写下了如何在 Windows 下限制孩子只能运行指定的应用程序。其实,写下这篇文章后,我始终不确定这么做的出发点是不是好的。如果孩子一直这样依靠他律,什么时候能学会自律呢?不过,读完《
最近在倒腾WPF的项目,试着搜一下微软官方提供的WPF Smaples, 结果找到了
目录 怎样使用SPSD 配置Environment XML文件 PowerShell激活Feature 上篇博客讲了利用PowerShell导出、导入AD中的Users。这篇介绍简单介绍一下SPSD工具包(因为官网已经有非常详细的讲解),接着是附录了一些常用的PowerShell脚本,用于我在部署的时候快速导入css、js、images、设置MasterPage、创建权限组、分配权限等。 SharePoint Solution Deployer(SPSD)能快速帮助程序员部署WSP,使用SPSD也是
某天忽然发现公司上百台机器中了变种的挖矿病毒DTLMiner,该病毒传播方式有多种,主要利用永恒之蓝漏洞、弱口令、mimikatz抓取域密码,数据库弱口令等方式传播,中毒后的机器会沦为挖矿机。
ctrl+shift+win+B:快速刷新屏幕,初次解决了黑屏问题,现在觉得应该是系统的屏幕显示出现了问题
Windows Azure Pack默认情况下是通过注册的方式获取账户,这对于我们已经有了AD的企业来说是非常非常不方便的。不过,通过Active Directory Federation Services(ADFS)我们能够使WAP与ADDS集成起来,使用我们现有的域账户就能登陆。
在我们的迷你系列“Variables in Shells”中,了解如何在PowerShell中处理局部变量。
现在的 Powershell 还不支持 dotnet core 的库,所以只能创建一个 dotnet framework 的项目。
对局域网中的计算机进行分类,使得网络更有序。计算机的管理依然是各自为政,所有计算机依然是对等的,松散会员制,可以随意加入和退出,且不同工作组之间的共享资源可以相互访问。
这一篇涉及到如何在网页请求环节使用多进程任务处理功能,因为网页请求涉及到两个重要问题:一是多进程的并发操作会面临更大的反爬风险,所以面临更严峻的反爬风险,二是抓取网页数据需要获取返回值,而且这些返回值需要汇集成一个关系表(数据框)(区别于上一篇中的二进制文件下载,文件下载仅仅执行语句块命令即可,无需收集返回值)。 R语言使用RCurl+XML,Python使用urllib+lxml。 方案1——自建显式循环: 📷 📷 整个过程耗时11.03秒。 方案2——使用向量化函数: 📷 整个过程耗时9.07m。 方案
很长时间没摸 windows 了, 发现自己居然 out 了,windows 也有类似 mac 的 brew 包管理器,
使用DAS查看日之前,需要先知道DAS如何安装,参考《0853-7.1.6-如何在CDP集群上安装DAS》,本篇文章主要介绍如何查看DAS中执行的Hive On Tez作业的日志。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
在 WPF 开发时,有 Snoop 的帮助,UI 的调试将变得非常轻松。使用 Snoop,能轻松地查看 WPF 中控件的可视化树以及每一个 Visual 节点的各种属性,或者查看数据上下文,或者监听查看事件的引发。
本文探讨Windows 10 S(下称Win10S)中的Device Guard(设备保护,下称DG)。我将提取策略,并弄清楚在默认Win10S系统上可以和不可以运行什么。我将在下一篇文章中介绍在不安装任何额外软件(如Office)或升级到Windows 10 Pro的情况下实现任意代码执行的一些方法。 Win10S是第一个向消费者发布的通过DG预先锁定的Windows操作系统。DG是基于WindowsVista中引入的内核模式代码完整性(KMCI)和Windows 8 RT中引入的用户模式代码完整性(UM
在2017年上半年,我们发现使用命令行逃逸技术和混淆技术的攻击者数量正在显著增加,网络间谍组织和专门针对金融领域的黑客组织仍在继续采用最先进的应用白名单绕过技术和新型混淆技术来攻击他们的目标(包括企业和用户)。这些技术通常可以绕过静态和动态分析方法,并且很好地解释了为什么基于签名的检测技术通常都会比那些创新型的攻击者要慢一步。 2017年初,黑客组织FIN8开始使用环境变量配合PowerShell通过StdIn(标准输入)来躲避基于命令行参数处理的安全检测方法。在2017年2月份,FIN8在钓鱼文档“COM
Aqua Nautilus最新报告指出,PowerShell Gallery关于包名称和所有者的政策中仍然存在重大缺陷,这些缺陷使得在该注册表中不可避免地发生typosquatting攻击,同时也使用户极难辨别软件包的真实所有者。最终,这些缺陷将为潜在的针对注册表庞大用户群的供应链攻击铺平道路。
领取专属 10元无门槛券
手把手带您无忧上云