原来是某个老哥误点了弹窗的骚扰广告。嘘声一片后,工作继续进行:项目已经进入开发末期,再赶赶工,就可以交付了。
接到安全界朋友消息,WannaREN目前正通过部分软件下载站广泛传播,习惯去软件下载站、不习惯去软件官网下载的朋友们注个意吧:
乌鸦安全的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。
话说3.14号早上,小Z像平常一样来到公司,发现一帮同事在一台电脑前围观,不过各个表情诧异的样子,他也好奇的凑过去看看有啥新奇的,电脑里除了系统文件,无一例外被加了Tiger4444的后缀。中勒索病毒了。小Z心里咯噔一下,明明之前做了很多的防守动作,为什么还是中招了?
内网穿透的方式不少,有人会也有人不太懂,最简单的,对新手友好的就是花生壳,但是要钱,对穷人不友好,这里我们就用操作稍微有点麻烦的但是免费的frp。
随着安全防护技术水平的提高以及安全设备对攻击行为检测能力的提升,传统WEB攻击手段越来越难以有效突破防守单位的高强度防守。钓鱼攻击逐渐受到红队的重视。与传统的攻击手段相比,钓鱼攻击成功率高,往往能达到较好的攻击效果。
锦鲤安全的技术文章仅供参考,此文所提供的信息仅供网络安全人员学习和参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。如有侵权烦请告知,我们会立即删除并致歉。本文所提供的工具仅用于学习,禁止用于其他,请在24小时内删除工具文件!谢谢!
木马又称“间谍软件spyware”、“后门程序backdoor”,最新发展为“恶意程序”或叫“流氓程序”。
端点检测和响应(EDR)是一种技术形式,可对针对企业网络和系统的高级网络安全威胁提供持续监控和响应。
一种 Au3 远控木马变种样本分析 0x01 Au3 简介 AutoIt3 (简称 Au3)是一种能够在Windows GUI 或 DOS 上实现一系列自动化任务的脚本语言,其语法类似BASIC。 使用 Au3 开发的程序,能够具有以下功能: 模拟击键和鼠标移动操作; 对窗口和进程进行操作; 与所有标准的 Windows 控件进行交互。 编译的独立可执行文件无需安装任何运行环境。 可创建图形用户界面( GUI ); 支持 COM ; 支持正则表达式; 可直接调用外部 DLL 和 Windows API
首先,在资产某处发现存在SQL注入,数据库类型是SQLServer,并且当前用户为sa管理用户。
本篇主要说明一下遇到拒绝服务攻击、DNS劫持、IOC告警以及APT事件的常规处理方式。
判断当前服务器是否在域内 RDS 如果目标服务器远程桌面服务开启,可尝试进行连接,若在用户名和密码栏下还有一个登录到(L)选项,下拉选项栏如果除了计算机名(此计算机)选项外还有其他选项,则此服务器可能位于域中,且选项名即为域名; net time /domain 执行该命令,有三种情况:第一种如果存在域会从域控返回时间,并在第一行返回域控及域名;第二种如果当前当前服务器在域内但当前用户非域用户,则会返回System error 5就表示权限不够;最后一种就是返回“找不到域WORKGROUP的域控制器
powershell是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能,PowerShell脚本的文本文件,其文件名需要加上扩展名“.PS1”。PowerShell需要.NET环境的支持,同时支持.NET对象,其可读性、易用性居所有Shell之首。
4月9日,巴林投资银行(Investcorp Bank)旗下的私募股权部门Investcorp Technology Partners(ITP)宣布收购德国网络安全公司Avira,这让Avira的总估值达到1.8亿美元(约合人民币12.7亿元)。
利用SQL注入去get shell有几种常见的方法,一种是跑数据,跑目录找到网站的管理后台,进入到后台想办法通过文件上传的等方法去拿shell;要么就通过报错,phpinfo界面,404界面等一些方式知道网站绝对路径,然后去写入shell,不过相对于mysql来说条件还是有些苛刻的。 接着就是掏出御剑开始扫网站目录,目录还挺多。
利用SQL注入去getshell有几种常见的方法,一种是跑数据,跑目录找到网站的管理后台,进入到后台想办法通过文件上传的等方法去拿shell;
其实这个厂商之前就挖过他们家漏洞,提交了不少漏洞给他们,如今都修复了,最近闲来无事,又对他们演示站点进行了一次“深入”研究。
提示:当个反面案例看就好,实际上拿下的方式远没有下文说的那么麻烦,只怪自己太心急… 本来是之前BC项目搞下来的一个推广站,当时只拿到了Shell
近日深信服安全团队捕获到一个最新的404 Keylogger木马变种,通过OFFICE文档嵌入恶意宏代码进行传播,盗取受害者浏览器的网站帐号和密码,深信服安全团队对此样本进行了详细分析,并获取到了黑客FTP服务器的帐号和密码,请大家提高安全意识,不要轻易打开未知的邮件附件及文档等。
0x00 前言 本文就常见的一些杀毒软件检测方法及meterpreter远控对抗杀毒软件的思路进行了一些介绍,相关内容可以参考我的上一篇文章meterpreter技巧分享。 另外说一句,metasploit是世界上最好的渗透测试工具! 0x01 静态检测与对抗 静态分析原理 简单的来说,就是通过特征码识别静态文件,杀软会扫描存在磁盘上的镜像文件,如果满足特征码,就识别为恶意软件。 恶意软件匹配规则yara匹配恶意软件的时候就是用的这样的方式。 通过特征来识别抓HASH工具QuarksPwDump,yara
目前安全行业发展红火,感知平台的推出,让内网安全一目了然,网络管理人员可使用感知平台实时了解失陷终端、失陷业务、网络攻击、业务外联情况、业务连接情况等信息,对网络的安全情况更加了解,对网络问题的处理更具有主动性。
2、为了更好的对比效果,大部分测试payload均使用msf的windows/meterperter/reverse_tcp模块生成。
Equifax黑客事件泄露了1.45亿社会安全号,WannaCry勒索软件锁定了大量计算机并要求用户支付比特币赎金。经过了这一整年,我们还需要更多证据来说服自己吗? 甚至千千万万台电脑上安装的安全软件都受到了质疑——美国政府因顾虑卡巴斯基实验室与俄罗斯政府有联系,而禁止其政府机构使用该流行安全软件。而专家们也对是否能够信任那些看不见的联网系统产生了怀疑,比如WiFi。 好消息是,即便情况越来越糟,我们还是可以做很多事来保护自己免受多种网络攻击的侵害: 从备份照片、音乐和其他重要事项开始。更新全部软件。只
通过各种工具和在线网站,对子域名进行收集,并解析ip。发现主站存在CDN,使用fofa,搜索网站title、js等关键信息和子域名解析的ip对应的C段,发现真实ip。对真实ip的ip段进行扫描,发现一台机器存在Weblogic中间件,使用exp进行测试,发现成功Getshell。
文章初衷仅为攻防研究学习交流之用,严禁利用相关技术去从事一切未经合法授权的入侵攻击破坏活动,因此所产生的一切不良后果与本文作者及该公众号无任何关联
前两天朋友去面试极光等一些企业遇到了一些问题记录了下来,问我有没有什么想法。问题是关于域管登录过的域内主机,卡巴之类的杀软保护了 lsass 进程,有哪些方法可以读取域管的明文密码。
本文章以原生的cs为基础进行免杀来进行简单的闲谈和讲解,内容版本从 cs4.5-cs4.9.1。
0×01 meterpreter简介 MetasploitFramework是一个缓冲区溢出测试使用的辅助工具,也可以说是一个漏洞利用和测试平台,它集成了各种平台上常见的溢出漏洞和流行的shellcode,并且不断更新,使得缓冲区溢出测试变的方便和简单。 需要说明的是meterpreter在漏洞利用成功后会发送第二阶段的代码和meterpreter服务器dll,所以在网络不稳定的情况下经常出现没有可执行命令,或者会话建立执行help之后发现缺少命令,经常出现什么sending stager error
这篇文章为@我不是格林师傅投稿,这个项目是他写的一个免杀工具,集成了C/C++ 、C# 、Nim 、PowerShell等多种语言的免杀加载器。
在某项目外围打点的过程中,通过文件上传拿到一个 WebShell。通过 WebShell 能够执行大多数的命令,且直接是 System 权限,但却无法执行 dir 进行列目录,导致冰蝎和蚁剑都无法使用。使用冰蝎进行命令行下的操作,回显极其的慢。通过 netstat,观察到站点连接内网中某台的服务器的 1433 端口,判断是站库分离的情形,于是决定建立隧道对数据库服务器进行渗透。而稍微大一点点的文件,都无法通过网站业务的上传功能进行上传,于是通过 WebShell 写入文件的方式,写入 reGeorg 隧道文件,快速建立起代理。
vs前缀代表默认编译器,intel前缀代表intel c++编译;test代表简单木马,test1代表更复杂木马;invalid代表无效签名,signed代表sigthief签名窃取,signeds有效签名。
本人一直在从事运维方面工作,虽然对安全行业接触较少,但也会偶尔迸出一些新奇的思路,今天在散心时,突然想到了一种比较有趣的免杀思路,于是乎,决定将思路整理出来,供大家实现。
Netcat工具可在github下载,瑞士军刀,没啥好说的老牌工具了(杀软杀的厉害)
传统的 Gh0st 由控制器和服务器组成,其功能模块多以插件形式下发,包含如下功能:
在此,火绒工程师提醒大家时刻注意群聊中发送的陌生文件,如有必要先使用安全软件扫描后再使用。火绒安全产品可对上述病毒进行拦截查杀,请用户及时更新病毒库以进行防御。
攻击机: win7 IP: 192.168.32.134 靶机: windows server 2012(安装360、火绒) IP: 192.168.32.133
I Doc View 在线文档预览系统是由北京卓软在线信息技术有限公司开发的一套系统。主要为用户提供各种类型的文档文件的在线预览,而无需下载或安装相应的软件。
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀。根据进一步溯源的信息可以推测该挖矿团伙利用被入侵的博彩网站服务器进行病毒传播。分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 SSH 暴力破解并将病毒进行传播。由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,
腾讯安全云鼎实验室通过部署的威胁感知系统捕获了一批挖矿样本(具有同源性),是一批可挖取门罗币(xmr)的挖矿病毒。这批样本今年5月开始出现,目前各大杀软对此样本基本无法有效查杀,腾讯云云镜第一时间跟进查杀。根据进一步溯源的信息可以推测该挖矿团伙利用被入侵的博彩网站服务器进行病毒传播。分析显示,此挖矿样本不具有传播性,总体结构式是 Loader + 挖矿子体,挖矿团伙通过控制的机器进行远程 SSH 暴力破解并将病毒进行传播。由于目前能对付此病毒的杀软极少,且该病毒通过入侵的赌博网站服务器进行病毒传播、挖矿,让真相扑朔迷离,云鼎实验室威胁情报小组将本次门罗币挖矿新家族命名为「罗生门」。
前段时间开发游戏服务器模拟玩家行为的压力测试工具,网络框架用netty, 运行的机器是4核8G的云服务器,win server 2012 和 centos7都有。
最近,NSA和CIA的网络武器都被捅娄子了,4月14日,就在ShadowBroker公布第二批NSA网络大杀器的同一天,维基解密继续公布了Vault7系列名为HIVE(蜂巢)的CIA网络工具相关文档。文档共6份,包括了HIVE的开发使用和配置工作文档等,最早版本记录可追溯到2015年10月。 HIVE是CIA计算机网络行动小组(COG)在执行远程目标任务时使用的一个协助平台,由CIA嵌入式研发部门(EDB)开发,可以提供针对Windows、Solaris、MikroTik(路由器OS)、Linux和AV
1.日志(各种日志,访问日志、中间件日志、数据库日志、系统日志、运行日志、安全日志等等等等)
在经过一段时间研究使用go语言进行shellcode加载器免杀之后发现go语言的效果并没有以前那么好了,在近一段时间看公众号文章时发现了nim语言,该语言很小众,杀软对其针对的力度可能比较小,在教育护网前做一个初步的研究。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频
