接到安全界朋友消息,WannaREN目前正通过部分软件下载站广泛传播,习惯去软件下载站、不习惯去软件官网下载的朋友们注个意吧:
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
端口转发是点对点的方式,代理是点对面的方式,如果我们只需要访问主机的特定的端口,使用端口转发就够了,但通常在渗透进内网之后,我们还需要对整个内网进行横向渗透,这时代理必然是一个高校的方法。代理分为正向代理和反向代理,正向代理常适用于外网可以直接访问到web服务器的情况下,反向代理适用于服务器可以出网,但是外部无法直接访问服务器的情况,针对大型企业,现在几乎都是CDN,负载均衡等设备,所以个人认为现在反向代理更常见于渗透攻击中。
内网穿透的方式不少,有人会也有人不太懂,最简单的,对新手友好的就是花生壳,但是要钱,对穷人不友好,这里我们就用操作稍微有点麻烦的但是免费的frp。
这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。
通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
平台功能预先分成了3个模块:免杀生成器、在线文库、在线工具,但是只有其中的免杀生成器->Edog加载器可以使用,其他模块还都只是占位符,以后有时间再完成了:
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
首先,在资产某处发现存在SQL注入,数据库类型是SQLServer,并且当前用户为sa管理用户。
github一直是it行业最大的同性交流网站,上面的开源好项目非常之多,不少的渗透好工具都出自github上面的大佬,尤其是免杀的loader,github一直是好免杀的藏宝阁,拿来就能用,拿来就能免,除非被杀软标记很多的项目,大部分免杀效果都很好的。
接收到了上级发来的通知,说内网有服务器中了CS木马,经过排查是在2022年中的CS木马,红队通过钓鱼方式获取到了集团的用户主机权限,通过计划任务开机自启动方式,将Windows白名单程序加载恶意DLL文件实现权限维持与免杀天擎。
在运维工作中,为了保证业务的正常运行,对系统进行安全加固,配置安全产品抵御外来的恶意攻击是运维工作非常重要的一部分。黑客经常利用弱口令和各类系统漏洞,软件漏洞对服务器远程渗透,从而造成业务中断,更为严重可能会影响整个公司的运营。
打了这么多的攻防演练了,很多时候我们可以执行命令了,但是没有回显、也不交互、添加加用户远程桌面没开、想远程下载木马有杀软拦截、循环写入遇到负载均衡、或者目标根本不出网
0×01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令,经常出现什么sending stager error
在对目标进行渗透时,一般情况下,我们首先获得对方服务器的webshell或者反弹shell,如果权限比较低,则需要进行权限提升;后续再对目标服务器进行进一步的权限控制。比如布置后门、跳板、维持权限等;我这就简单的就靶机演示一下内网的渗透。
首先介绍此次渗透的环境:假设我们现在已经渗透了一台服务器PAVMSEF21,该服务器内网IP为10.51.0.21。扫描后发现内网网络结构大概如图所示,其中PAVMSEF21是连接外网和内网的关键节点,内网其他服务器均不能直接连接。
早期的“桌面图标lnk木马”也是危害一时。“恶意程序”通过伪造成正常应用来混淆视听,造成恶意破坏等操作。
4.Cobaltstrike生成宏病毒代码 一键生成宏代码后,新建一个文档或者用已经有的文档构建。(以word为例)步骤如下: 选择 "视图" -> 宏 -> 查看宏 -> 创建,填入生成的宏代码即可
在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
为了方便即将到来的HVV行动,为大家提供更好的掌握渗透攻击技能,特意收集了一些关于HVV常见的面试题给大家参考。
文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无任何关联
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。
Office 宏,译自英文单词 Macro。宏是 Office 自带的一种高级脚本特性,通过 VBA 代码, 可以在 Office 中去完成某项特定的任务,而不必再重复相同的动作,目的是让用户文档中 的一些任务自动化。而宏病毒是一种寄存在文档或模板的宏中的计算机病毒。一旦打开这样 的文档,其中的宏就会被执行,于是宏病毒就会被激活,转移到计算机上,并驻留在 Normal 模板上。
需要简单了解本机信息,包括操作系统、权限、内网ip地址段、杀毒软件、端口、服务、补丁更新频率、网络连接、共享、会话等等。 如果是域内主机,操作系统、应用软件、补丁、服务、杀毒软件一般都是批量统一安装的。
本篇主要说明一下遇到拒绝服务攻击、DNS劫持、IOC告警以及APT事件的常规处理方式。
在经过一段时间研究使用go语言进行shellcode加载器免杀之后发现go语言的效果并没有以前那么好了,在近一段时间看公众号文章时发现了nim语言,该语言很小众,杀软对其针对的力度可能比较小,在教育护网前做一个初步的研究。
Mimikatz是法国人Benjamin Delpy编写的一款轻量级的调试工具,理论上可以抓取所有windows系统的明文密码(winxp之前的好像不行),因此在内网渗透过程中应用非常广,属于内网渗透必备工具之一,被很多人称之为密码抓取神器。Mimikatz其实并不只有抓取口令这个功能,它还能够创建票证、票证传递、hash传递、甚至伪造域管理凭证令牌等诸多功能。由于mimikatz的使用说明网上资料很多,本文主要是介绍一下mimikatz的一些免杀方式。
我相信很多人在发文章的时候,都写了关于APT攻击相关的文章!在这里我也发一篇该文章!哈!但是我比较喜欢实战,不太喜欢理论上的东西。相信大家也跟我一样喜欢实战,恰巧在读研的时候研究方向是APT攻击的检测和防御。在本文中会以模拟2011年10月末的Nitro攻击(APT攻击之一)做一次实战模拟。
在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
随着安全防护技术水平的提高以及安全设备对攻击行为检测能力的提升,传统WEB攻击手段越来越难以有效突破防守单位的高强度防守。钓鱼攻击逐渐受到红队的重视。与传统的攻击手段相比,钓鱼攻击成功率高,往往能达到较好的攻击效果。
在上一节《记一次Vulnstack靶场内网渗透(二)》中,我们简单的对vulnstack 4的靶场环境做了一次测试,通过外网初探、信息收集、攻入内网最终拿下域控。在本节中,我们将对vulnstack 2这个靶场进行渗透测试。靶场地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/3/
一看2008的服务器,直接就是system权限,心里还想着这有什么不好提的。当然既然朋友说提不下,肯定没有那么简单。
最近,NSA和CIA的网络武器都被捅娄子了,4月14日,就在ShadowBroker公布第二批NSA网络大杀器的同一天,维基解密继续公布了Vault7系列名为HIVE(蜂巢)的CIA网络工具相关文档。文档共6份,包括了HIVE的开发使用和配置工作文档等,最早版本记录可追溯到2015年10月。 HIVE是CIA计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由CIA嵌入式研发部门(EDB)开发,可以提供针对Windows、Solaris、MikroTik(路由器OS)、Linux和AV
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133
发现一个好玩的github项目,正好,最近手机上老是收到莫名的诈骗短信,我决定钓一波。
•通过LSA插件,将LSASS进程句柄复制到其他进程,而不通过OpenProcess来打开LSASS。
这里可以看到几个主要的端口,例如80、135、139、445,这里首先就可以想到可以利用的点有ipc、smb
最近在学习内网渗透,很想找个机会练练手。正好团队接到红队评估的项目,于是便有了此文,没什么技术含量,师傅们轻点喷。
锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。如有侵权烦请告知,我们会立即删除并致歉。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!谢谢!
但是仍然有使用windowsu作为服务器的同学和情况。所以我在此整理了一期如何把django平台从mac上移动到windows上的笔记。
上个月5月9号发了两个HW红方弹药库的,今天再来发一个红队作战人员手册,我大概看了看手册里面的exp零组文档包含了很多,
领取专属 10元无门槛券
手把手带您无忧上云