首先,我们都知道,VBS代码可以直接被看到的, 不知道VBS的是什么,度娘会告诉你的。 下面这个程序可以对VBS代码进行简单的加密,原理灰常简单, 1.读取源文件的所有代码 1.读取源文件的所有代码 2.计算Asc值 3.写入,Execute用Chr还原后的代码。 废话不多说 上代码 代码: ---- 加密: On Error Resume Next Set argv = WScript.Argument
On Error Resume Next Set argv = WScript.Argument
在红蓝对抗或者国家某活动中,钓鱼是红队比较常见的攻击手段。通常的钓鱼手段包括exe文件的投递,自解压文件的投递,office系文件的投递等等。这几种文件投递的方式都能直接向对方电脑投递木马文件,但是现在的防守客户普遍使用了强有力的查杀手段,特别是针对exe等文件的查杀,这对木马文件的免杀提出了新的挑战(当然,免杀大佬请当我这句话没说过)。Office作为目前最常见的办公软件套件使用,因为它的普遍使用性可以作为我们从外网到内网的一个突破口,但是目前我在GitHub找到现有的一些项目在面对国内使用的三大杀软显得应付有些吃力,所以才有了自己编写一个工具进行bypass的想法。
作为一个Youkia社区的老用户,它算得上是一个美好的回忆,而它的游戏:pvzol,也是非常的经典。当时有人用.NET Framework为框架做了一个助手,方便用户挂机。但是部分游戏服务器无法使用,需要手动Patch内存补丁,刚好有人就做了这玩意儿,售价38RMB一个月。本来想着买了就行了,毕竟作为一个游戏的VIP2级用户。但是卖家极其不负责任的态度以及特别想要圈钱的行为,让我恼火。
介绍Ursnif,也称为Gozi-ISFB或Dreambot,是一种广泛分布的银行木马。它试图从不同金融机构的客户那里窃取银行凭证。首次发现与Gozi-ISFB相关的源代码泄漏时。从那时起,乌尔斯尼夫(Ursnif)不断发展并活跃在威胁领域。根据Microsoft的说法,Ursnif自2009年首次出现以来就显示出令人难以置信的窃取功能。从窃取用户的凭据,本
通常情况下,即使拥有管理员权限,也无法读取域控制器中的C:\Windows\NTDS\ntds.dit文件。那么什么是ntds.dit呢?
useradmin登录192.168.1.1查看ip,然后百度搜索ip,查看是否为公网IP。如果不是,拨打10000,申请切换公网IP即可。
本文由团队成员编写,首发于先知社区:https://xz.aliyun.com/t/9624
横向的手法从简单的远程桌面协议(rdp)到漏洞利用,手法不断在改变,要对抗的设备产品也不断地变化,有个技术主管问我,红蓝的快乐在于什么?为什么我钟情在红蓝。我想中快乐就是来自于对抗吧。
步骤二:嵌入文件处可以选择转化之后程序的图标,然后点击那个编译图标就可以了,转化后的程序还在原文件夹里。
内容来源:2018 年 06 月 19 日,VMware大中华区原厂高级技术讲师姚泉在“VMware在线技术专题分享·第二期”进行《VMware vSphere 6.7 新功能介绍》演讲分享。IT 大咖说(微信id:itdakashuo)作为独家视频合作方,经主办方和讲者审阅授权发布。
获取地址: https://pan.baidu.com/s/1GlsJfJPdLuJe3Dbqf0EvpQ 提取码: 7bdb 特点:
11 月 10 日,我们发现了一次多阶段 PowerShell 攻击,该攻击使用冒充哈萨克斯坦卫生部的文件诱饵,目标是哈萨克斯坦。
首先拿到图片,扫码尝试一波,发现没有什么异常结果。那么接下来用binwalk扫一下,发现末尾有zip包,提取出来,发现有3个文件,但是7z打开发现只显示了1个文件,那么应该是有伪加密存在的。一个个修改50 4B 01 02后面的加密位,最后发现只有图片能正常打开。观察这张图片,看起来就是在原图的基础上进行了涂改,那么和原图进行xor分析,得到这样一张图:
在 COVID-19 还未结束之际,伪装成 COVID-22 安装程序的新兴恶意软件已经出现。
近期,火绒安全团队截获蠕虫病毒“RoseKernel”。该病毒可通过远程暴力破解密码等多种手段全网传播。病毒入侵电脑后,会同时执行“挖矿”(门罗币)、破坏Windows签名校验机制、传播后门病毒等系列恶意行为。由于病毒会对同一网段的终端同时暴力破解密码,对局域网等机构用户(政府、企业、学校、医院)危害极大,截至到发稿前,已有数万台电脑被感染。目前“火绒产品(个人版、企业版)”最新版即可查杀该病毒。
GPP是指组策略首选项(Group Policy Preference),GPP通过操作组策略对象GPO(Group Policy Object)对域中的资源进行管理。
"Windows远程管理(WinRM)"是WS-Management协议(Web Services for Management,又名WSMan)的Microsoft实现,WS-Management Protocol是基于标准简单对象访问协议(SOAP)的对防火墙友好的协议。运行来自不同硬件和操作系统的硬件和操作供应商,以实现互操作(Microsoft Docs)。
在2015年的黑帽大会和DEFCON上,我曾谈过黑客会如何从域用户提权到域管理。 密码的难题 每台Windows主机有一个内置的Administrator账户以及相关联的密码。大多数组织机构为了安全,可能都会要求更改密码,虽然这种方法的效果并不尽如人意。标准的做法是利用组策略去批量设置工作站的本地Administrator密码。 但是这样又会出现另一个问题,那就是所有的电脑都会有相同的本地Administrator密码。也就是说,如果获取了一个系统的Administrator认证凭据,黑客就可以获取他们
3vilGu4rd是一个权限维持的工具。使用VBS编写,并打包成VBE后缀的二进制文件,理论上在xp以后的系统都可以运行。经测试,在win7,w2k8,win2019,win10win11都可以正常进行权限维持。
Windows 2008 Server引入了一项称为组策略首选项的新功能,该功能使管理员可以部署影响域中计算机/用户的特定配置。通过在组策略管理控制台中配置的组策略首选项,管理员可以推出多种策略,例如,当用户登录其计算机时自动映射网络驱动器,更新内置管理员帐户的用户名或对注册表进行更改。
GuLoader 是一个 Shellcode 下载工具,因使用多种反分析技术来进行检测逃避而闻名。研究人员发现,GuLoader 近期针对韩国与美国的电子商务行业客户攻击频繁。 什么是 NSIS? MSIS 是用于开源的 Windows 应用安装程序,其典型功能为: 基于脚本且完全免费 恶意代码可以与合法程序打包在一起 可直接调用 Windows API 来加载 .NET 模块、MSSQL 等已有插件 与 VBA、JavaScript 和其他基于脚本的恶意软件一样,可以通过混淆来进行检测逃避 【G
在渗透过程中,攻击者往往需要通过命令下载执行恶意代码,实现信息收集、持久化、权限提升、防御绕过、提取凭证、横向移动、数据渗出等操作。
Ntds.dit是主要的AD数据库,包括有关域用户,组和组成员身份的信息。它还包括域中所有用户的密码哈希值。为了进一步保护密码哈希值,使用存储在SYSTEM注册表配置单元中的密钥对这些哈希值进行加密。
本文主要分析了一次非国家性质的针对伊朗基础设施的攻击事件,此次攻击事件虽然发生在伊朗,但他同样可以发生在其他国家城市。接下来我们会对攻击的技术细节进行分析,找到网络攻击事件背后的黑客,并将其与前几年的攻击事件进行关联分析。
题目下载下来是一个png图片,里面全是二维码,二维码内容大概就是马老师经典语句全文。
这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。
最近研究Legion Loader恶意软件时,研究人员偶然发现了一个下载装置,从云服务下载执行恶意有效负载。在寻找其他类似的样本发现:8,000个URL,10,000个样本,Nanocore,Lokibot,Remcos,Pony Stealer等。可以看出云服务是整个黑客产业的新方向,可取代打包程序和加密程序。如果恶意软件网络活动只与云通联,就很有可能逃过系统检测,研究人员也无法快速分辨恶意软件。
最近在实战过程中遇到了组策略,发现攻击面其实挺宽广的,这里记录下自己的分析和学习过程。
组策略(英语:Group Policy)是微软Windows NT家族操作系统的一个特性,它可以控制用户帐户和计算机帐户的工作环境。组策略提供了操作系统、应用程序和活动目录中用户设置的集中化管理和配置。组策略的其中一个版本名为本地组策略(缩写“LGPO”或“LocalGPO”),这可以在独立且非域的计算机上管理组策略对象。
名不见经传的以色列安全公司CTS-Labs突然向媒体公开了一份白皮书,披露了 AMD 处理器中存在的 13 个安全漏洞,却仅给 AMD 24 小时的响应时间,消息一出,引发安全行业的轩然大波…… 目前 AMD正在针对以色列安全公司发布的一份漏洞报告进行紧急调查,该公司的这份报告披露了影响 AMD Ryzen 和 EPYC 处理器的13个安全漏洞。而这13个漏洞分布在四个名为 RyzenFall,MasterKey,Fallout和 Chimera 的漏洞类别之中。 发现这些漏洞的是来自以色列的安全实验室 C
背景 近日,金山毒霸安全中心捕获到一例利用邮件传播的非PE样本,类型为lnk快捷方式文件,执行后会下载勒索病毒,最终会加密用户机器上的文档、图片、视频等重要文件。 引言 攻击者,通过社工(社会工程),
Vbs是一种Windows脚本,它的全称是:Microsoft Visual BasicScript Editon.(微软公司可视化BASIC脚本版),VBS是Visual Basic的的一个抽象子集,是系统内置的,用它编写的脚本代码不能编译成二进制文件,直接由Windows系统执行(实际是一个叫做宿主host的解释源代码并执行),高效、易学,但是大部分高级语言能干的事情,它基本上都具备,它可以使各种各样的任务自动化,可以使你从重复琐碎的工作中解脱出来,极大的提高工作效率。
中国APT铁虎又回来了,被PZChao行动称为新的战役,针对亚洲和美国的政府,科技,教育以及电信组织。 Bitdefender恶意软件研究员已经发现并监控了几个月密码窃取、比特币挖掘的定制后门活动,当
在六月份的某单位HW行动中,知道创宇HW安全团队通过创宇云图APT威胁感知系统并结合腾讯御点终端安全管理系统成功处置了一起APT攻击事件。
1. 样本收集 网上收集整理了已有的样本MD5,下载地址: https://gist.github.com/Blevene/42bed05ecb51c1ca0edf846c0153974a 同时结合US-CERT收集的样本列表: https://www.us-cert.gov/sites/default/files/ALERT_TA17-132A.xlsx 2. 样本分析 2.1 样本基本分析结果 大部分样本都不容易找到,但可以Hybrid Analysis搜索到样本相关信息,从已有列表中除去重复和非主程序
在内网渗透中,当攻击者获取到内网某台机器的控制权后,会以被攻陷的主机为跳板,通过收集域内凭证等各种方法,访问域内其他机器,进一步扩大资产范围。通过此类手段,攻击者最终可能获得域控制器的访问权限,甚至完全控制基于Windows操作系统的整个内网环境,控制域环境下的全部机器。
当前,世界各地安全公司、执法机关和情报机构都把Lazarus Group归因于朝鲜的国家支持黑客组织,随着Lazarus Group自身网络攻击工具的进化发展,它们可以轻松实施DDoS僵尸网络攻击和数据擦除攻击,达到破坏性目的,也能顺利开展特定公司网络和银行SWIFT系统入侵,使各种内部资料和大量资金唾手可得。 本报告中,我们着重对Lazarus Group从未被外界披露的一个加密货币攻击工具集进行分析,该工具集被Lazarus Group广泛用于全球加密货币组织、个人和相关机构的入侵攻击。 这个被称
上周,微软推出了一项新的 Windows 平台安全技术:Windows Defender System Guard 运行时认证。这项技术主要用于应对软件中的攻击,与 Credential Guard 一样,利用基于虚拟化安全中涉及的源于硬件的安全技术。
本篇继续阅读学习《内网安全攻防:渗透测试实战指南》,本章系统的介绍了域内横向移动的主要方法,复现并剖析了内网域方面最重要、最经典的漏洞,同时给出了相应的防范方法
2016年中国网络空间安全年报 4.3 C&C服务器分布情况分析 C&C服务器,其全称为command and control server。攻击者通过各种途径传播恶意代码程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令。C&C服务器通常是被黑客利用建立控制通道,对被攻击方实施控制的重要跳板。 本节通过对APT云端中2016年互联网上传播恶意代码程序的C&C IP/URL进行分析,发现大量了仍然在活跃的C&C服务器。 4.3.1 大多C&C服务器活跃时间较短 根据安恒对截止到
自幼受贵州大山的熏陶,养成了诚实质朴的性格。经过寒窗苦读,考入BIT,为完成自己的教师梦,放弃IT、航天等工作,成为贵财一名大学教师,并想把自己所学所感真心传授给自己的学生,帮助更多陌生人。
通常我们在渗透过程中从外围打点进入内网后拿到主机提升到system权限,这一台主机就已经拿下。但是我们进入内网的目标还是拿下尽可能多的主机,这时候选择横向移动的方法就尤为重要。今天就对一些常用的横向手法进行一个总结,有不足之处欢迎师傅们进行斧正。
注意,图中红线以下大家千万别触碰,我们作为安全人员或白帽子主要是在红线以上去获取信息,再报告相关单位或提醒相关网站进行漏洞修复,尤其是拒绝服务,其破坏性非常大。
前言 本月初微博上有知名大V晒出一封私信截图,私信是以某记者名义发出,要求采访该大V博主,并提供了一个网盘链接作为“采访提纲”。当博主下载网盘中存放的所谓“采访提纲”后,该文件被360安全卫士检测为木马进行清除。 我们根据截图中的网盘链接下载了伪装“采访提纲”的木马进行分析,发现这是来自于一个长期从事木马植入与数据窃取的不法黑客团伙,该团伙利用盗取或冒名的各类账号,对账号关联人发起攻击,木马功能包括录音、远程上传或下载任意文件、服务管理、文件管理、屏幕监控等,很明显是意图窃取数据进行勒索或售卖来谋取利益
签到关,jar程序,直接拖入jd,很直接的flag: GoldenTicket2018@flare-on.com
写在前面的话 理解恶意软件的真实代码对恶意软件分析人员来说是非常有优势的,因为这样才能够真正了解恶意软件所要做的事情。但不幸的是,我们并不总是能够得到“真实”的代码,有时恶意软件分析人员可能需要类似反汇编工具或调试器之类的东西才能“推测”出恶意软件的真实行为。不过,当恶意软件使用的是“解释型语言”开发的话,例如Java、JavaScript、VBS或.NET等等,我们就有很多种方法来查看它们真正的原始代码了。 不幸的是,攻击者同样知道这些分析技术,而且为了规避安全分析,他们还会采用很多混淆技术来干扰研究
上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集、攻击尝试获得权限、持久性控制、权限提升、网络信息收集、横向移动、数据分析(在这个基础上再做持久化控制)、在所有攻击结束之后清理并退出战场。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/144726.html原文链接:https://javaforall.cn
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
