xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
Octopus是基于python3的开源项目,可进行操作的C2服务器,可以通过HTTP / S控制Octopus powershell代理。
注:通过任务管理器查看CPU较高使用率和多个PowerShell.exe进程,能初步判断机器中了此木马,查看其计划任务有随机名,调用PwoerShell确定木马病毒存在。
Windows Active Directory域服务为我们提供了强大的用户管理功能,包括密码策略的设定。这项功能可以帮助我们制定更加安全的密码策略,减少安全风险。本文将介绍如何使用PowerShell查看和修改Windows域的密码策略。
可能您会说,前段时间不是已经写过一篇类似的文章了吗?(参考这里Azure Stack App Service部署测试),由于那篇文章介绍的是TP3 Refresh,而正式版略有些不同,二来有读者反馈希望能写得更加详细一些,所以借着这次正式版发布,再写篇长文章。
文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! Empire是一个纯碎的PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。 Empire
微软智慧云 Azure 上虽然早就有 App Service 这种完全托管的 PaaS 服务可以让我们分分钟建网站。但是不自己配一下环境,就不能体现技术含量,容易被说微软的人都只会点鼠标。年轻的时候不敲命令,什么时候可以?今天就教大家如何在 Azure 上用 Windows Server 2019 (Server Core) VM 的方式自己配环境部署 ASP.NET Core 网站。
攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难。
在Windows系统中,你可以通过图形界面修改DNS服务器设置,但是这个过程可能比较繁琐,特别是当你需要在多台电脑上进行相同的修改时。幸运的是,PowerShell提供了一种更快捷的方法,让你可以通过命令行修改DNS服务器设置。本文将详细介绍如何使用PowerShell命令行修改DNS服务器设置。
本文主要介绍如何在Windows系统快速部署Ollama开源大语言模型运行工具,并安装Open WebUI结合cpolar内网穿透软件,实现在公网环境也能访问你在本地内网搭建的大语言模型运行环境。
4月9日,WannaRen勒索病毒作者公布了解密密钥,基于公布的秘钥,绿盟科技研发了相应的解密程序。针对该病毒,我们整理了如下你所关心的FAQ:
当我们通过渗透进入内网环境后,面对的是一片未知区域。对当前机器角色判断,对机器所处区域分析。本文分成两个部分。第一部分是常见信息收集思路、第二部分是一些小工具推荐
查看网关 IP 地址、DNS 的 IP 地址、域名、本机是否和 DNS 服务器处于同一网段。
项目地址 https://github.com/Al1ex/APT-GUID 📷 项目介绍 整理APT领域的一些资料,涉及但不仅限于以下几个方面 APT攻击工具 APT分析报告 APT攻击技巧 工具整理 信息收集 主动情报收集 EyeWitness可以获取网站的屏幕快照,提供一些服务器信息,并在可能的情况下标识默认凭据 https://github.com/ChrisTruncer/EyeWitness AWSBucketDump 可用于快速枚举AWS S3 Buckets以寻找战利品的工具 https
在飞书中创建chatGPT机器人并且对话,在下面操作步骤中,使用到了Git克隆项目,需提前安装好Git,克隆的项目是Go语言项目,所以需提前安装Go语言环境。
Mintimate's Blog:https://www.mintimate.cn
mkcert 是一个开源工具,用于快速生成有效的本地开发证书。它可以帮助开发人员在本地环境中使用 HTTPS 加密来模拟真实的生产环境。
关于SharpGPOAbuse SharpGPOAbuse是一个功能强大的.NET应用程序,SharpGPOAbuse基于C#开发,可以帮助广大研究人员利用目标系统中用户针对一个组策略对象(GPO)的编辑权限来入侵并控制由该组策略对象(GPO)控制的对象。 项目获取 广大研究人员可以使用下列命令将该项目源码克隆至本地: git clone https://github.com/FSecureLABS/SharpGPOAbuse.git 代码编译 请确保本地主机中必要的NuGet包已正常安装,然后就可以使用
混淆是混淆不过人为分析的,只有加密才是yyds,而ssl加密是最常用的加密手段,比如c2上个ssl证书,配合一个aws
本文同步博客图文( ´▽`):https://www.mintimate.cn/2020/03/19/hexo
熟悉系统目录方便我们进行渗透操作。包括系统自身创建的目录、程序或人为创建的目录。比较重要的几个目录包括Windows、Program files/Program files(x86)、ProgramData、用户等。
这次渗透是从站库分离的情况下在深入进去内网在拿下域控服务器,也都是普通的渗透思路,并没有什么技术含量!首先WEB点是一个MSSQL注入漏洞,并且这个注入是sa权限的!首先这个站点是使用JoomlaCMS搭建的,但是在一处Study信息登记处发现了SQL注入漏洞
在文章开始之前我们先看看BadUSB内部构造在接下来看看BadUSB HID的攻击原理以及优势HID是Human Interface Device的缩写,由其名称可以了解HID设备是直接与人交互的设备,。一般来讲针对HID的攻击主要集中在键盘鼠标上,因为只要控制了用户键盘,基本上就等于控制了用户的电脑。攻击者会把攻击隐藏在一个正常的鼠标键盘中,当用户将含有攻
熟悉.NET Framework的人知道,我们可以通过指定AssemblyVersion为10.0.*来让编译器自增版本号。但是.NET Core和.NET Standard不行。即使有MSBump这样的开源项目,也有一定的缺陷。一般这样的需求会出现在CI/CD服务器上。我们来看看如何用Azure DevOps轻松搞定。
基础命令 作用 命令 主机名 hostname 查询所有计算机名称 dsquery computer 查看配置及补丁信息 systeminfo 查看配置及补丁信息 wmic qfe get description,installedOn /format:csv 查看版本 ver 进程信息 tasklist /svc 进程信息 wmic process get caption,executablepath,commandline /format:csv 查看所有环境变量 set 查看计划任务 schtasks
震惊!某小白竟然利用windows绕过了windows Defender、360等AV。
在内网渗透测试中,信息收集的深度与广度,直接关系到整个内网渗透测试的成败,本篇文章主要对内网信息收集做简单介绍~
Microsoft.com是互联网上最广泛的域名之一,拥有数千个注册子域名。Windows 10将每小时对这些子域进行数百次ping操作,这使得防火墙和监视操作系统发出的所有请求变得极具挑战性。攻击者可以使用这些子域来提供有效负载以逃避网络防火墙。在最近尝试在社交媒体上分享文章时,Twitter阻止我在推文窗口中输入简单的PowerShell命令。Twitt
在 Linux 下,有dig、nslookup、traceroute等多种非常实用的网络调试工具。
Windows下我用的PowerShell 7.1.3,首先需要登录cloudflare账户,会自动打开默认浏览器登录。不建议用随机分配的域名,每次重启软件都会再次随机域名。
博客文章地址使用Sakura frp内网穿透服务搭建自己的网站/游戏服务器 - 二次元フロントエンド (ecy.ink)
在上一篇文章中,我们讲解了木马通信协议中的ICMP协议,并通过ICMP实现了一个反弹shell,本篇接着讲解一下DNS隧道,也实现一个反弹shell。
本文章首发于语雀! 通过各种高科技功能同步到Hajeekn 的博客 Cloudflare 是一个知名的老牌 CDN 厂商了,相信很多人应该都知道,今天我在逛 Cloudflare の Docs 时发现了个 Argo Tunnel 试用了一下,还可以,并且免费,于是水写了一篇文章介绍给大家
近日,在平时的威胁情报收集中,发现了一起韩国APT组织KimSuky的攻击事件,对整个事件进行完整分析之后,觉得自己对样本分析和流量分析的认识又上了一层楼,在这里分享给大家,希望可以一起学习进步。
dnscat2是一款开源软件,使用DNS协议创建加密的C&C通道,通过预共享密钥进行身份验证;使用Shell及DNS查询类型(TXT、MX、CNAME、A、AAAA),多个同时进行的会话类似于SSH中的隧道。dnscat2的客户端是有Windows版和Linux版,服务端是用Ruby语言编写的。严格的说,dnscat2是一个命令与控制工具。
本文参考的官方文档:https://docs.microsoft.com/zh-cn/office365/enterprise/powershell/create-user-accounts-with-office-365-powershell
工作组,即Work Group,是最常见最简单最普通的资源管理模式。它是局域网的一个概念,主要是将不同的电脑按功能分别列入不同的组中,以方便管理。想要访问某个部门的资源,只要在【网络】里双击该部门的工作组名
无论是高级持续性威胁(APT)、僵尸网络(Botnet),还是勒索软件、后门等,命令与控制信道(C&C)都是其重要组成部分,尤其是APT和僵尸网络中的C&C信道决定了其威胁程度。学术界和工业界就C&C方面的研究已逐渐深入,目前网络战格局逐渐形成,公众对网络安全逐渐重视,网络空间中的攻防双方持续较量。
Cobalt Strike使用C/S架构,Cobalt Strike的客户端连接到团队服务器,团队服务器连接到目标,也就是说Cobalt Strike的客户端不与目标服务器进行交互
Get-Hotfix 的 -ComputerName 获取管道类型是:String[],通过()传递过来的是类型也是String.所以该命令可以运行,并且结果正确。
PyMeta是一款针对目标域名元数据的信息收集工具,该工具基于Python 3开发,是PowerMeta(基于PowerShell开发)的Python 3重构版本,在该工具的帮助下,广大研究人员可以将目标域名相关的网页元数据(文件等)提取到本地,这种技术可以有助于我们识别目标域名、用户名、软件/版本和命名约定等。
大家好,我是ABC_123,公众号更名为"ABC123安全研究实验室"。本期分享一个真实的APT实战案例,我查看了公布在网上的英文分析报告,并对部分汉化文章的翻译错误进行了改正,力图还原真实过程分享给大家。有些技术细节,英文报告中并没有提到,还望大家谅解。欢迎关注我的公众号"ABC123安全研究实验室"。
大家好,这里是 渗透攻击红队 的第 41 篇文章,本公众号会记录一些我学习红队攻击的复现笔记(由浅到深),不出意外每天一更
Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。2021年03月3日,微软官方发布了Microsoft Exchange安全更新,披露了多个高危严重漏洞,其中:在 CVE-2021-26855 Exchange SSRF漏洞中,攻击者可直接构造恶意请求,以Exchange server的身份发起任意HTTP请求,扫描内网,并且可获取Exchange用户信息。该漏洞利用无需身份认证。
这篇博客简述如何快速识别被第三方应用使用的SQL Server实例,该第三方软件用PowerUpSQL配置默认用户/密码配置。虽然我曾经多次提到过这一话题,但是我认为值得为这一主题写一篇简短的博客,帮助大家解决常见的问题。希望会帮助到那些尝试清理环境的渗透测试人员和网络安全团队。
对局域网中的计算机进行分类,使得网络更有序。计算机的管理依然是各自为政,所有计算机依然是对等的,松散会员制,可以随意加入和退出,且不同工作组之间的共享资源可以相互访问。
Windows Server 2008R2:安全性太差,用的人少,我放到本文结尾了
思科Talos安全团队最近发现一款Powershell恶意程序,用DNS进行双向通信。 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析,这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量,但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点,经常将其他协议封装进DNS协议中来躲避安全监测。 攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本,利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可
背景 早就听说微软的powershell非常强大,凭借它可以全命令行操控windows服务器了。最近终于要在工作中用到它了,于是花了几个小时将powershell的基础教程看了下,这里将学习过程中的一些要点记录一下。 环境准备 欲善其事,先利其器,先准备一个开发环境。 个人的开发电脑是macOS 11.13.3,为了开发powershell脚本,在本机安装了一个windows 7 sp1的虚拟机。 升级powershell版本 win7自带的powershell版本较低,这里将windows 7 sp1里自
领取专属 10元无门槛券
手把手带您无忧上云