使用该 OAuth Token 就可以向 Microsoft Graph API 请求(https://graph.microsoft.com/v1.0/me/drive/root:/Documents...请求结构为:https://graph.microsoft.com/v1.0/me/drive/root:/Uploaded/???:/content。...通过 OneDrive 下载文件,请求结构为https://graph.microsoft.com/v1.0/me/drive/root:/Downloaded/???:/content。...数组中的每个值都单独作为参数传递给以下自定义函数,该函数使用 Invoke-Expression cmdlet 运行命令: △自定义函数 每个命令的执行结果都会收集起来,发送到 OneDrive 上的以下位置...△CreepySnail PowerShell 代码 公共工具的使用 POLONIUM 通过 OneDrive 下载了一个辅助程序 plink,这是一种常见的自动化交互式 SSH 工具。
据Bleeping Computer网站消息,俄罗斯黑客已经开始使用一种新的代码执行技术,该技术依赖于 Microsoft PowerPoint 演示文稿(PPT)中的鼠标移动来触发恶意 PowerShell...【含恶意脚本的PPT文件】 感染链 来自威胁情报公司 Cluster25的研究人员以演示模式打开“诱饵文档"并且将鼠标悬停在超链接上时,会激活恶意 PowerShell 脚本并从 Microsoft...Graphite 滥用 Microsoft Graph API 和 OneDrive ,与命令和控制 (C2) 服务器通信。...【Graphite 使用的固定客户端 ID】 研究人员解释说,使用新的 OAuth2 令牌,Graphite 通过枚举 check OneDrive 子目录中的子文件来查询 Microsoft GraphAPI...“如果找到新文件,则下载内容并通过 AES-256-CBC 解密算法解密,恶意软件通过分配新的内存区域并执行接收到的 shellcode 来允许远程命令执行调用一个新的专用线程。”研究人员说道。
APfell是一个跨平台,可识别 OPSEC的红色团队,利用后的C2框架,使用python3,docker,docker-compose和Web浏览器UI构建.它旨在为操作员,管理人员和基于Mac OS...服务来建立C2通信通道.它使用Microsoft Graph API与O365服务进行通信. https://github.com/3xpl01tc0d3r/Callidus 5....灵活性和团队合作精神.其针对API的设计为通过任何文件记录良好的REST和Socket.IO API与可以说其语言的任何代理之间的任何传输方法进行安全通信提供了基础.目前,Faction仅支持.NET负载和模块...开发后框架具有基于角色的访问控制系统,可以使用SQL查询来查询数据!...Merlin是一个跨平台的利用后HTTP / 2 C2服务器和用Golang编写的代理.通过使用现有工具无法理解或检查的协议,它可以帮助您在渗透测试/红色团队练习中规避网络检测.Merlin Server
在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。...此外,SPN的识别也是kerberoasting攻击的第一步。 Tim Medin在他的Kerberos攻击演讲中很好地解释了SPN。...GetUserSPNs Tim Medin开发了一个PowerShell脚本,它是kerberoast工具包的一部分,可以帮助我们查询活动目录,以发现仅与用户帐户相关联的服务。...这些脚本是PowerShell AD Recon存储库的一部分,可以在Active Directory中查询服务,例如Exchange,Microsoft SQL,Terminal等。...但是,无法使用基于token的身份验证,因此与Active Directory进行通信需要获取有效的域凭证。 .
其中一些需要PowerShell v2.0的环境,还有一些则需要PowerShell v3.0环境。...通过检验注册表里[HKEY_USERS的key](http://technet.microsoft.com/en-us/sysinternals/bb897545.aspx)值来查询谁登陆过机器,同样也调用到了...NetSessionEnum API。...,查询非约束委派主要是通过搜索userAccountControl属性包含ADS_UF_TRUSTED_FOR_DELEGATION的主机或账户。...手法: 通过修改注册表的方式添加组策略 reg add hklm\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation /v AllowDefaultCredentials
快捷方式的参数隐藏技巧 将payload放置在260个空字符之后,这样无法在文件属性查看payload,可以用来在快捷方式中隐藏payload,欺骗用户点击,隐蔽执行代码 参考: 《渗透技巧——快捷方式文件的参数隐藏技巧...方法18:特殊注册表键值 在注册表启动项创建特殊名称的注册表键值,用户正常情况下无法读取(使用Win32 API),但系统能够执行(使用Native API) 参考: 《渗透技巧——"隐藏"注册表的创建...TestDotNet(同源代码对应),否则,dll虽然能够被加载,但无法执行,参数如下: C:\Windows\Microsoft.NET\Framework\v4.0.30319\csc.exe /t...使用/D需要管理员权限 应用: 更改释放文件的路径 ---- Tips 51 powershell在执行脚本时传入参数 powershell -executionpolicy bypass -Command...通过API ShowWindowAsync改变窗口状态 通过powershell实现,脚本可参考: https://github.com/3gstudent/Writeup/blob/master/HiddenProcess.ps1
microsoft graph的api,一次调用10个api,5个onedrive的api还有4个outlook的api,剩下一个是组的api,调用一次后延时等待五分钟再重复调用。...记录ID 下面会用到 点击左边管理的证书和密码,点击+新客户端密码,点击添加,复制新客户端密码的值 记录这个值 下面会用到 点击左边管理的API权限,点击+添加权限,点击常用Microsoft...API里的Microsoft Graph(就是那个蓝色水晶), 点击委托的权限,然后在下面的条例搜索以下12个 最后点击底部添加权限 Calendars.ReadWrite 、 Contacts.ReadWrite...软件掏出来 打开 rclone.exe 所在文件夹,shift+右键,在此处打开powershell,输入下面修改后的内容,回车后跳出浏览器,登入e5账号,点击接受,回到powershell窗口,看到一串东西...工作流程说明 Run api.Write:创建系api,一天自动运行一次 Run api.Read: 查询系api,每6小时自动运行一次 Update Token: 微软密钥更新
在最近尝试在社交媒体上分享文章时,Twitter阻止我在推文窗口中输入简单的PowerShell命令。Twitter 继续显示一条错误消息,指出无法提交推文。...这意味着一些严格的防火墙和IDS将允许这些具有通配符的域(例如,允许* .microsoft.com)通过网络。某些系统管理员也可能完全忽略Microsoft域,因为它们不太可能被恶意攻击者滥用。...在PowerShell中使用base64字符串时,它们需要出现在一行中。通过将base64输出传递给tr来删除(-d)新行(\ n),将多行连接成一个字符串。...要深入了解Unicorn,请查看“ 如何创建无法检测的有效负载 ”和官方GitHub页面以获取详细信息。...稍后将通过识别href而不是关于我的部分(下面的示例)的主体来获取有效载荷。目标的计算机永远不会真正查询攻击者的网站。有效载荷将完全使用谷歌搜索引擎获得。
https://docs.microsoft.com/en-us/windows/win32/api/amsi/nf-amsi-amsiinitialize https://docs.microsoft.com...frida-trace -p 15 -x amsi.dll -i Amsi* 使用-p指定进程powershell的Pid,-x指定dll,-i使用*通配符来指定我们需要监控的API。...此时frida以及Hook住了amsi的相关函数,我们在powershell中输入字符串测试: 我们虽然识别了对AmsiOpenSession、AmsiScanBuffer和AmsiCloseSession...的调用,但无法了解其内部过程,frida在Hook时默认会生成js文件,我们可以更改此类文件,来改变其Hook时的输出,方便我们理解整个过程。...然而,我们很容易绕过了这个问题,即使用通过拆分和连接字符串进行保护。
然后是指定的应用以和参数 (这里没有参数),以及指定以 SYSTEM权限执行。...这样的话通过命令就无法找到了。...www.nirsoft.net/utils/dll_export_viewer.html) 感觉相对于前面方式,dll代理有点鸡肋,就不在具体叙述 影子账户 我们只需要在创建用户时加上$符,在用net user查询时就无法被查询出来...PowerShell 侧写 每当用户运行 PowerShell.exe 的时候,PowerShell 侧写文件会被加载。...我们可以通过执行命令 $Profile | select* 来查询所有的 PowerShell 侧写,共有 4 个可能的位置: C:\Windows\System32\WindowsPowerShell
在splunk中查询当前主机的sysmon日志: sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ?...在splunk中搜索Sysmon事件,识别出可疑的SMB会话(445端口): sourcetype=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational...然后通过分析当前的Windows事件日志,辨别进程的创建/终止,网络连接的建立/销毁来区别正常与异常的SMB会话。 探测攻击者使用PowerShell进行横向渗透。...PowerShell初始化 Windows RemoteManagement (WinRM) 的时候会通过5985和5986端口。...我们可以看到受害者机器上面WinRM Remote PowerShell 进程(wsmprovhost.exe)启动了ping.exe和systeminfo.exe这两个进程,而且我们可以看到执行的命令参数
Windows的资源管理器识别文件类型是由扩展名决定的(而并不是文件头决定文件类型)。首先扩展名会对应一种文件类型,这种文件类型的不同操作再对应到不同的具体命令。...事实上在该过程中,Windows还会在注册表的上述路径中查询所有的映像劫持子键,如果存在和该程序名称完全相同的子键,就查询对应子健中包含的"dubugger"键值名,并用其指定的程序路径来代替原始的程序...Autoruns只能检测到ActiveScriptEventConsumer和CommandLineEventConsumer的操作,可以理解为上述对进程和注册表监视的操作无法识别 查杀: 1、清除后门...和powershell.exe进程的启动参数 (3)bitsadmin bitsadmin.exe是windows自带的可用于创建下载或上载作业并监视其进度,bistadmin可以指定下载成功之后要进行什么命令...PAM配置可分为四个参数: 模块类型、控制标记、模块路径、模块参数,例如: session required pam_selinux.so open 上面提到的sshd软链接后门利用的PAM机制达到任意密码登录
通过阅读理解微软文档我们可以知道amsi对宏的检测查杀流程: 1.word等等钓鱼文件加载宏 2.VBA宏运行时,运行时会有一个循环的缓冲区中记录数据和参数调用Win32,COM, VBA等等api的情况...此外,它还允许直接调用 COM 方法和 Win32 API。 VBA 脚本引擎通过实现调用者和被调用者之间转换的内部接口处理从宏代码到 COM 和 API 的调用。...(“参数 1”, ..., “参数 n”); (“参数 1”, ..., “参数 n”); 无论代码怎么样混淆加密,被调用的函数、方法和...API 总是需要以明文(明文)的形式接收参数才能工作;所有AMSI新建一个内存缓冲区进行记录。...在开了amsi的情况下无法执行了 ?
,这里不做过多介绍,用的最多的是 data queries ,请在实际查询中使用,需要明确的是WQL仅能查询,无法使用 Methods 进行增删改等操作。...DCOM Microsoft 在TCP 135 端口和一系列的动态端口(不同版本不一样) 运行DCE RPC end-point mapper为它的DCOM服务 端口可通过注册表项 HKEY_LOCAL_MACHINE...\Software\Microsoft\Rpc\Internet\中 的Ports设置 可通过DCOMCNFG.exe 配置 对防火墙不友好(使用 TCP 135和一系列动态端口 1024 到 65535...如果CIM Cmdlets 使用DCOM 无法建立会话,可以使用 -Protocol 参数退回到DCOM #WMI Cmdlets $Username ="0day\Administrator" $Password...WQL查询,并且 也支持 -query 参数直接使用WQL查询。
日志记录和检测 从 2020 年初开始,无法通过设置“Azure 资源的访问管理”位(通过 Azure AD 门户或以编程方式)检查 Azure AD 帐户。...当我遍历我的攻击链时,似乎没有任何此类活动的明确记录(在 Office 365、Azure AD 或 Azure 日志中)。无法在 Azure AD 中检测此配置 - 没有可查询帐户的属性。...当我通过 Azure AD 到 Azure 访问提升时,我试图确定一个我可以发出警报但无法发出警报的明确事件。...此外,我担心这是 Microsoft 云客户的场景:无法检测、无法修复,并且最终无法阻止,因为如果 Azure AD 全局管理员帐户暴露,则没有真正的门可锁定。...检测要点: 无法使用 PowerShell、门户或其他方法检测 Azure AD 用户帐户上的此设置。
,通过添加新的定时任务,启动恶意脚本、powershell或者其他命令行语句来达到权限维持或者扩散的目的 排查计划任务开始前,需要先开启计划任务记录,以防相关任务未记录导致无法排查 此处计划任务建议主要以...日志导出到xxx.evtx 根据常用查询参数,编写了部分查询命令,可以自行根据想要的信息更改参数 需要注意的是/q后跟为XPath格式查询语句,内容非常多,此处只是列举部分常规排查会用得到的参数 展示的内容一般比较多...view=powershell-7.2 用于较新版本的 Windows PowerShell(从 Windows PowerShell 3.0 开始) 通过 Windows 事件日志 API(Event...默认情况下并不记录时间,无法像 Linux 那样通过配置环境变量的方法让已经记录的命令显示时间 经过测试,重启后不会删除记录 默认情况下 powershell 的日志中记录的信息不是很有帮助,这里就不展示了...这些修改通常是通过Shim引擎来实现的,Shim引擎会拦截和修改应用程序的API调用。
对于从事影视剪辑的同学来说,能快速通过一个画面找到原片中出现的位置,将大大提升视频剪辑的效率 本篇文章将聊聊常见可行的方案 1、以图搜索 我们对影视画面进行截图后,直接将图片上传到下面这些网站,网站会返回截图相关的结果...,这里通过参数 --prompt 指定为简体中文 import os import fnmatch, shutil # 使用whisper.cpp项目将当前目录下【所有视频语音】转为文字 # 获取当前目录下所有的视频文件...\\ggml-medium.bin -f {video_file} --prompt "简体中文"' os.system(command) 以 windows 添加 alias 为例 编辑 Microsoft.PowerShell_profile.ps1...文件,以函数的形式添加一个 alias,然后重启 PowerShell 即可 # SP文件目录:C:\Users\wnn\Documents\WindowsPowerShell\Microsoft.PowerShell_profile.ps1...然后通过台词检索寻找对应画面 如果你觉得文章还不错,请大家 点赞、分享、留言 下,因为这将是我持续输出更多优质文章的最强动力!
# 使用 powershell 查询所有安装过的软件及版本,效果和 wmic 相同 wmic service list brief # 查询当前机器的服务信息 wmic...其中query termserver命令存在问题,本地测试时与描述严重不符,无法列出信息。 3、操作记录 cmd 和 powershell v3 以下的操作记录无法长时间保存,仅限当前窗口。...# 删除 cmd 的历史操作记录 可以通过向进程发送键盘内容的方式将运行中的窗口历史操作记录导出。...# 查看 powershell 历史操作记录 type %appdata%\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt...本地用户无法执行域命令查询域内容。
S4U2Proxy S4U2Self (协议转换): 上图中用户是通过Kerberos协议与服务A进行认证的,而当用户以其他方式(如NTLM认证,基于表单的认证等方式)与Web服务器进行认证后,用户是无法向...通过S4U2Self获得的服务票据被标志为可转发时,该票据可以在接下来的S4U2Proxy中被使用,而不可转发的TGS是无法通过S4U2Proxy转发到其他服务进行传统的约束委派认证的。...为了弄清楚连接后拒绝访问的原因,我们必须先明白Powershell是在会话中是如何工作的。 在PSSession中,Powershell是通过委派用户凭证的方式让用户在远程计算机上执行任务的。...可以看到,Rubeus已经无法通过S4U2Proxy为Administrator用户请求服务。...通过研判现网攻击技术发展方向,以攻促防,为风险识别及威胁对抗提供决策支撑,全面提升安全防护能力。 内容编辑:M01N Team 宋仁杰 责任编辑:肖晴
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
