这款工具最早被演示于BlackHat London 2019中,Octopus是一个基于python3的开源,可操作的C2服务器,它可以通过HTTP/ S控制Octopus powershell代理。
转义、编码和加密是开发中很常见也很基础的概念。对于初学开发的开发者,可能有时会无法准确的区分着几个词。我们将通过这篇文章来了解一下“转义、编码和加密”这几个词的关联和区别。
这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。
Powershell对命令行和脚本环境添加了许多新的功能,以此来改善Powershell的管理和脚本脚本交互能力,想对于其他的命令脚本,Powershell有以下特性。
DVenom是一款功能强大的Shellcode加密封装和加载工具,该工具专为红队研究人员设计,可以帮助红队成员通过对Shellcode执行加密封装和加载实现反病毒产品的安全检测绕过。
Ninja是一个开源的命令控制C2服务器,由Purple团队设计、开发和维护。在Ninjia的帮助下,红队研究人员可以隐藏他们的计算机和活动目录枚举活动,并且不会被SIEM和反病毒产品检测到。目前,Ninjia仍处于测试阶段,稳定版本发布后,将会包含更多隐蔽技术和反取证技术,这对于蓝队来说将会是一个真正的挑战,以帮助他们确保防御系统的安全性,以检测到更加复杂的攻击。
据观察,被认为是伊朗 APT35 国家支持组织(又名“迷人小猫”或“磷”)的一部分的黑客利用 Log4Shell 攻击来释放新的 PowerShell 后门。
Octopus是一个开源的、基于python的预操作C2服务器,可以通过HTTP/S控制Octopus的powershell代理。
从PowerShell 2的第一个技术预览版到现在,已经过去将近两年的时间了,下面列出了在这期间添加的一些新特性。 Remoting:可以在远程机器上运行Cmdlet和Script。 后台任务:可以使用PsJob在本地和远程运行后台任务。 ScriptCmdlets:以前只能用静态编译型语言编写Cmdlet,如C#和VB。现在则可以直接使用PowerShell脚本编写。 步进式管道:可以认为这种管道一次只传输一个元素。 数据区:数据区可以将脚本的数据与逻辑分隔开,除了易于管理外,还可以用来构建支持国际化的脚
Octopus是基于python开发的一款可操作的C2服务器,可以通过HTTP/S控制Octopus powershell代理,其主要目的是要在任何红队行动之前使用,而不是开始与您的整个作战武库和基础设施接触,您可以在开始实际的红队行动之前先使用Octopus攻击目标并收集信息
PSRansom是一款带有C2服务器功能的PowerShell勒索软件模拟工具,该工具可以帮助广大研究人员模拟针对任何操作系统平台(只要安装了PowerShell即可)的通用勒索软件数据加密过程。在C2服务器功能的帮助下,我们甚至还可以通过HTTP从目标设备(客户端)中提取文件,并在服务器端接收信息。
今年参加了几次攻防演练对抗赛,其它队伍依靠社工结合文件钓鱼得了不少分,自己之前并没有相关知识的积累,因此在这个方面吃了一些亏。
可能大家看到这个标题要说我是标题党了,不过没关系了。这篇文章算是我的处女作,所以再怎么花哨我都不觉得过分。好啦,废话不多讲。
我在最近的学习过程中,发现PowerShell的命令的历史记录有时会包含系统敏感信息,例如远程服务器的连接口令,于是我对PowerShell的的历史记录功能做了进一步研究,总结一些渗透测试中常用导出历史记录的方法,结合利用思路,给出防御建议。
关于Sandbox Scryer Sandbox Scryer是一款功能强大的开源安全威胁情报工具,该工具可以根据公开的沙盒输出生成威胁搜索和情报数据,并允许广大研究人员将大量样本发送给沙盒,以构建可以跟MITRE ATT&CK Framework一起使用的技术文档。Sandbox Scryer提供了前所未有的大规模用例解决方案,该工具适用于对利用沙盒输出数据进行威胁搜索和攻击分析感兴趣的网络安全专业人员。 值得一提的是,当前版本的Sandbox Scryer使用了免费和公共混合分析恶意软件分析服务的输
现在的 Powershell 还不支持 dotnet core 的库,所以只能创建一个 dotnet framework 的项目。
发现存在(Kerberos + LDAP + DNS + SMB)这种端口组合。说明可能dc01.timelapse.htb是域控制器。
因为多数的网页都是带图片的,现在很多网页不是一般地静态网页,都是在浏览器加载过程中,随着浏览器滚动条的滚动,才加载对应的内容。
在DOS命令和CMD命令中,都是一条命令执行一个过程,是面向过程的调用方式,而PowerShell之所以敢称作Power,就是其比一般地Shell不同之处是,其可以调用整个dotNET的类型库,可以用面向对象的方式去访问和执行复杂的对象模型如Sqlserver的SMO、AMO模型和各种COM模型如OFFICE对象模型等。
大约在 2022 年 8 月初,在进行安全监控和事件响应服务时,GTSC SOC 团队发现关键基础设施受到攻击,特别是针对他们的 Microsoft Exchange 应用程序。在调查过程中,GTSC蓝队专家确定此次攻击利用了未公开的Exchange安全漏洞,即0day漏洞,因此立即提出了临时遏制方案。同时,红队专家开始研究调试Exchange反编译代码,寻找漏洞利用代码。感谢发现前 1 天 Exchange 漏洞的经验,RedTeam 对 Exchange 的代码流程和处理机制有深入的了解,因此减少了研究时间,并迅速发现了漏洞。事实证明,该漏洞非常严重,以至于攻击者可以在受感染的系统上执行 RCE。GTSC 立即将该漏洞提交给零日倡议 (ZDI) 以与 Microsoft 合作,以便尽快准备补丁。ZDI 验证并确认了 2 个漏洞,其 CVSS 分数分别为 8.8 和 6.3,关于漏洞利用如下。
MaccaroniC2是一款功能强大的命令控制C2框架,该工具基于纯Python实现,可以帮助广大研究人员在特定场景中实现控制命令的发送和结果的接收。
Cobalt Strike是一款渗透测试神器,常被业界人称为CS神器。Cobalt Strike已经不再使用MSF而是作为单独的平台使用,它分为客户端与服务端,服务端是一个,客户端可以有多个,可被团队进行分布式协团操作。 Cobalt Strike集成了端口转发、扫描多模式端口Listener、Windows exe程序生成、Windows dll动态链接库生成、java程序生成、office宏代码生成,包括站点克隆获取浏览器的相关信息等。
“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其他组织不同的是,该组织非常擅长根据不同的攻击目标伪造不同版本的相关军事、政治信息,以进行下一步的攻击渗透。
近日哈勃分析系统捕获到一类由C#语言编写的新的敲诈勒索木马。之前出现 的C#语言编写的木马只是简单地调用了一些C#库来辅助开发。与之相比,这次的变种增加了多层嵌套解密、动态反射调用 等复杂手段,外加多种混淆技术, 提升了分析难度。 木马加密文件时使用AES256算法, 在特定条件下可以还原加密的文件。 背景简介: HadesLocker是10月份新爆发的一个敲诈勒索类木马,会加密用户 特定后缀名的文件,包括本地驱动器和网络驱动器, 加密后文件后缀为.~HL外加5个 随机字符,然后生成txt,html、png
在C#中可以调用PowerShell,其他语言就很麻烦了,好在 aardio 可以方便的调用C#,实际上我们要调用的是 System.Management.Automation.dll, 包括微软的 PowerShell.exe 实际上也是调用这个DLL。C#这类开源的代码有很多,在开源项目UnmanagedPowerShell中我提取了PowerShellRunner.cs – 需要用到的只有这一个文件。
在这篇文章中,我将跟大家分享如何利用C#和C++来开发反病毒产品无法检测到的反向Shell。
PowerShell是一个面向对象的语言,在申明变量的时候不强制要求申明数据类型,使用$开头来申明变量即可。
该资源清单列表涵盖了一系列,适用于渗透测试不同阶段的开源/商业工具。如果你想为此列表添加贡献,欢迎你向我发送pull request。
近日,研究人员发现 Phosphorus(又名 Charming Kitten、APT35)组织的攻击行动有所增长。业界多次发现该组织对各行各业机构或人士发起攻击,甚至干预美国总统选举。
近期看了一篇不错的横向移动的文章,觉得不错就简单翻译了一下(谷歌翻译哈哈哈哈!) 原文地址:https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f
在网络攻防博弈中,网络流量特征分析类安全防御措施得到了广泛应用。众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。
在上一篇1.密码工具箱中介绍了一些密码技术相关的一些基本工具,同时遗留了一个鸡生蛋蛋生鸡的问题和公钥的认证问题( ̄▽ ̄)",这里再补充几个常用的工具先。 1. 伪随机数生成器(Pseudo-Rando
0. 何谓安全? 对于信息安全性的重要性,我想大家都不会否认。那么具体来说应该具有哪些特性才能称之为安全呢?举个简单的例子:我给你发送一条消息“借给我100元”,当你收到这条消息并且处理后你的账户里面会少出来100块,我的账户会多出来100块。在这个过程中,你是消息接收方,我是消息发送方。 作为通信双方的你我都不希望让其他人能读懂这条消息,这是信息的机密性,即消息在传递过程中不被其他人解读。 作为通信双方的你我都不希望消息内容变成"借老子1000块!"(操,借钱还这么牛逼,100块都不给你,还要1000块!
简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件 通过HTTP下载
📷 简介 在各种钓鱼、挖矿、勒索、组建僵尸网络、基础渗透、后渗透过程当中,攻击者都会通过一些方法去下载执行恶意代码并执行完成攻击操作,比如前段时间通过Office DDE执行powershell的,利用宏执行VBS的,绕过权限限制完成危险命令执行的等等,都需要用到文件下载/上传姿势,一般说按照途径可以分为: 通过HTTP、FTP URL进行传输类 通过UNC进行传输类 通过磁盘写入类 而payload执行则具体可以分为有文件类和无文件类,具体分的话就是内存执行、本地缓存、磁盘文件下面我们
Tips : 微软介绍服务器核心时说道其降低的硬件要求、磁盘占用量较小,减小了更新需求因此攻击面更小。 Tips : 在设计上服务器核心中没有桌面,虽然维护支持传统的业务应用程序和基于角色的工作负荷所需的功能,但服务器核心没有传统的桌面界面。 相反,服务器核心旨在通过命令行、PowerShell 或 GUI 工具进行远程管理 (如 RSAT 或 Windows 管理中心) 。
在2019年发现了针对Microsoft Exchange Server 漏洞的勒索软件Black Kingdom ,该恶意软件由python编码。今年再次发现其恶意活动,该勒索软件利用 Microsoft Exchange 漏洞 (CVE-2021-27065)进行传播。勒索软件使用 Python 编码并用 PyInstaller 编译为可执行文件;它支持两种密钥生成模式:动态生成密钥和硬编码密钥。
0×01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令,经常出现什么sending stager error
Metasploit带有内置的后期漏洞利用功能,可帮助我们完成任务。由于它是后渗透的模块,因此只需要输入会话即可:
如果你是一名专业的渗透测试人员,那你可能真的离不开PowerShell,但是如果目标系统中的某个策略组织我们访问PowerShel.exe,那我们该怎么办呢?没错,这个问题经常会困扰我们,而且网上也有很多的应对方法。
这将执行InvokeWebRequest(PS v.3 +)以下载payload,使用LOLBin执行它
在了解了免杀的一些基础知识和 Metasploit 自带的一些免杀方式之后,我开始学习和研究市面上知名度比较高的免杀工具,从互联网上找到了大约 30 多个免杀工具,从中筛选出来了 21 个工具进行免杀测试和学习,耗时一个多月时间。
Malwarebytes 威胁情报团队发现了一种新的远控木马,命名为 Woody RAT,研究人员发现其在野已经存在至少一年。 攻击者最近利用 Follina 漏洞来针对俄罗斯的实体发起攻击,根据注册的虚假域名推测,攻击目标应该为名为 OAK 的俄罗斯航空航天与国防组织。 分发方式 Woody RAT 使用两种方式进行分发:压缩文件与利用 Follina 漏洞的 Office 文档文件。 早期的样本在 ZIP 文件中,伪装成俄罗斯特组织的文件。当 Follina 漏洞出现时,攻击者也利用其进行分发恶意软件
前言 Proofpoint的安全研究员发现并分析了这个新型恶意软件并命名为NerbianRAT,此恶意软件使用了反分析和反逆向功能,该恶意软件是使用Golang编写的64位程序,主要传播方式为冒充世界卫生组织发送的COVID-19相关的安全措施邮件,通过邮件附件中有VBA宏的Word文档传播。 样本运行流程 样本IOCs 名称:ee1bbd856bf72a79221baa0f7e97aafb6051129905d62d74a37ae7754fccc3db.doc 大小:280469 字节
如从路径/usr/perl查询perl文件,但不查询路径为”/usr/bin/perl”下的perl文件。
Shellcode-Encryptor是一款功能强大的Shellcode加密、解密和执行工具,在该工具的帮助下,广大研究人员可以通过尝试利用Shellcode来绕过反病毒产品,并以此来测试安全产品的安全性能。
领取专属 10元无门槛券
手把手带您无忧上云