1.是Windows原生的2.可以调用Windows API3.无文件执行命令4.可以逃避Anti-Virus的检测(这个其实现在还比较敏感了)5.被大多数程序加入白名单中,标记为可信的6.有许多开源的渗透工具集
xHunt活动从2018年7月份一直活跃至今,这个组织的主要目标针对的是科威特政府和航运运输组织。近期研究人员发现,xHunt的攻击者又攻击了科威特一家机构的Microsoft Exchange服务器。虽然我们无法确认攻击者是如何入侵这台Exchange服务器的,但是根据此次事件相关的计划任务创建时间戳,我们发现攻击者早在2019年8月22日之前就已经能够访问这台Exchange服务器了。在此活动中,攻击者使用了两个后门,一个是TriFive,另一个是Snugy的变种版本(这是一个Web Shell,我们称之为BumbleBee)。
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~
前文分享了Windows基础,包括系统目录、服务、端口、注册表黑客常用的DOS命令及批处理powershell。这篇文章将详细讲解PowerShell和PowerSploit脚本攻击,进一步结合MSF漏洞利用来实现脚本攻击和防御。希望这篇文章对您有帮助,更希望帮助更多安全攻防或红蓝对抗的初学者,且看且珍惜。本文参考徐焱老师的《Web安全攻防渗透测试实战指南》著作,谢公子博客,并结合作者之前的博客和经验进行总结。
使用PSSession连接Exchange服务器管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件 筛选导出邮件 导出请求记录 使用powershell脚本导出邮件 导出指定用户的所有邮件 导出所有用户的所有邮件 搜索邮件 搜索邮件的常用命令 使用powershell脚本搜索 在Exchange服务器上直接管理邮件 导出邮件 导出所有用户的所有邮件 导出指定用户的所有邮件 使用powershell脚本导出邮件 搜索邮件 搜索邮件的常用命令 使用powershell脚本搜索
从PowerShell 2的第一个技术预览版到现在,已经过去将近两年的时间了,下面列出了在这期间添加的一些新特性。 Remoting:可以在远程机器上运行Cmdlet和Script。 后台任务:可以使用PsJob在本地和远程运行后台任务。 ScriptCmdlets:以前只能用静态编译型语言编写Cmdlet,如C#和VB。现在则可以直接使用PowerShell脚本编写。 步进式管道:可以认为这种管道一次只传输一个元素。 数据区:数据区可以将脚本的数据与逻辑分隔开,除了易于管理外,还可以用来构建支持国际化的脚
本文分为三个部分,主要介绍了一种实用的powershell脚本静态分析方法,并基于独立于平台python脚本来执行此任务。
思科Talos安全团队最近发现一款Powershell恶意程序,用DNS进行双向通信。 前言 DNS是企业网络中最常用的Internet应用层协议。DNS提供域名解析,这样用户就可以通过域名而非IP地址来访问网络资源。许多企业会严格监控web流量,但对基于DNS的威胁的防护就比较少。攻击者也注意到了这点,经常将其他协议封装进DNS协议中来躲避安全监测。 攻击者利用DNS协议一般都是要获取信息。思科Talos团队最近分析了一个很有趣的恶意程序样本,利用DNS TXT记录查询和响应来创建双向的C2通道。攻击者可
新的cmdlet、操作符和变量,再加上诸如脚本调试以及后台任务这样的新功能,PowerShell 2.0将帮助你开启PowerShell脚本编程的新世界。 如果你希望发挥PowerShell脚本编程的强大功能,但是又发现学习它的难度很大的话,那么PowerShell 2.0或许就是你开始上手的最好选择。计划于2009年下半年发布的PowerShell 2.0为PowerShell的语言和开发体验加入了许多重要的新特性,让它变得更易于使用,同时也改进了许多PowerShell 1.0所存在的缺陷
对很多IT专业人士来说,Powershell的确是Windows系统中一个相当强大的工具,而且微软也有意将PowerShell作为Windows系统的默认命令行工具。但赛门铁克最近的一份报告指出,超过
“用指尖改变世界” Palo Alto Networks公司警告说,自2017年4月以来,一种恶意工具已经成为人们关注的焦点之一。这主要原因是由于它采用了相当独特技术来混淆它的PowerShell脚本,这种技术是其他工具所没有的。 工具名为“PowerStager”,在2017年12月左右,其在实际攻击活动中的使用率有所上升。 PowerStager的核心是一个Python脚本,它使用C源代码生成Windows可执行文件,然后利用多层模糊处理启动PowerShell脚本,最终目标是执行shellcode
何为“后渗透”?就是获取到受害者服务器的权限后,再继续对受害者服务器进行长期攻击或者信息获取的一种持续性手段。常见的手段有,后门、影子账户、会话劫持等等。
Windows操作系统中的密码管理通常通过图形界面完成。然而,有时我们可能需要通过脚本或自动化方式更改密码。今天,我们将探讨如何使用PowerShell脚本实现Windows普通用户修改自身密码。
本文通过对高度安全环境中,渗透入侵完成后,传统的基于Web和DNS管理控制目标系统不可行条件下,利用企业网页邮箱系统进行命令控制(C&C)和数据窃取(Exfiltration)的一种思路分享探讨。 假设场景 我们假设目标企业组织内设置了这样一种安全措施: 内部用户工作站电脑不能直接连接互联网,只能通过其中架设的代理服务器执行外部Web请求和DNS查询,而且代理服务器又设置了流量监控功能,由其产生的HTTP和DNS请求流量都能被监测发现。 由于从某种程度上来说,代理服务器“打破”了内部用户机与外部服务器
三步一岗,五步一哨,让你在内网中无计可施,麻麻再也不用担心我的内网了! 现状 这几年来,蜜罐技术一直被人津津乐道,各种各样的蜜罐是层出不穷,开源的,商业的,低交互式,高交互式等等不一而足,具体如何评估各种蜜罐可以参考《开源蜜罐测评报告》一文。蜜网是在蜜罐技术上逐渐发展起来的一个新的概念,又可称为诱捕网络。 蜜网技术实质上仍是一种蜜罐技术,是一种对攻击者进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务以及信息,诱使攻击者对他们进行攻击,减少对实际系统所造成的安全威胁。但与传统的蜜罐技术的差异在于,蜜网构成
近期,火绒监测到“LemonDuck”(柠檬鸭)蠕虫病毒感染量正在持续增加。该病毒入侵用户电脑后,会执行挖矿模块,同时还会通过多种方式在网络中进行横向传播。该病毒在2019年被首次发现,至今依然在不断扩大其影响范围。火绒安全软件(个人版、企业版)可查杀该病毒。
虽然说PowerShell也是在dotNET体系内,凡是dotNET语言可以完成的,它也几乎可以同样完成,但完成的代价可能不一,有些部分可能没有使用其他语言如C#等语言来得方便好用。 同样地PowerShell作为一门定位于帮助运维人员实现日常工作自动化的脚本语言,很多方面有其独特的优势所在,虽然用其他语言、工具一样可以完成,但PowerShell完成得更漂亮,更方便快捷。
在野的Powershell恶意脚本总是经过多重混淆、加密,直接静态分析难以得知脚本具体有什么恶意行为,所以需要对其进行动态调试。目前最常用的Powershell调试器是ISE,但ISE没有较友好的调试窗口,使得调试脚本时效率低下,下面,将介绍使用VSCode实现远程调试Powershell脚本,帮助你提升解密分析Powershell恶意脚本的效率。
在Linux中编写Shell脚本时,处理命令行参数是一个常见且重要的任务。getopts是一个用于解析命令行选项的内置命令,它能够帮助我们简化脚本参数的处理过程。本文将详细讲解如何在Linux脚本中使用getopts来处理脚本参数,并通过示例来展示其实际应用。
Monkey 是Android SDK提供的一个命令行工具, 可以简单,方便地运行在任何版本的Android模拟器和实体设备上。 Monkey会发送伪随机的用户事件流,适合对app做压力测试
【*绿盟科技M01N Team研究岗长期招聘CTF、Pentest、RE、PWN、WEB,请在文末进行了解!】
最简单的方法,本帖里很多朋友也说了,组策略批处理给客户端运行,生成IP,计算机名,用户名到一个共享盘上的txt文件。
PowerShell一直是网络攻防对抗中关注的热点技术,其具备的无文件特性、LotL特性以及良好的易用性使其广泛使用于各类攻击场景。为了捕获利用PowerShell的攻击行为,越来越多的安全从业人员使用PowerShell事件日志进行日志分析,提取Post-Exploitation等攻击记录,进行企业安全的监测预警、分析溯源及取证工作。随之而来,如何躲避事件日志记录成为攻防博弈的重要一环,围绕PowerShell事件查看器不断改善的安全特性,攻击者利用多种技巧与方法破坏PowerShell日志工具自身数据,以及事件记录的完整性。今年10月份微软发布补丁的CVE-2018-8415正是再次突破PowerShell事件查看器记录的又一方法,本文将细数PowerShell各大版本的日志功能安全特性,及针对其版本的攻击手段,品析攻防博弈中的攻击思路与技巧。
Kerberos是一种支持票证身份验证的安全协议。如果客户端计算机身份验证请求包含有效的用户凭据和服务主体名称 (SPN),则 Kerberos 身份验证服务器将授予一个票证以响应该请求。然后,客户端计算机使用该票证来访问网络资源。在内部网络中,SPN扫描通过 查询向域控制器执行服务发现。这对于红队而言,可以帮助他们识别正在运行重要服务的主机,如终端、交换机、微软SQL等,并隐藏他们。此外,SPN的识别也是kerberoasting攻击的第一步。
在网络攻防博弈中,网络流量特征分析类安全防御措施得到了广泛应用。众多厂商和企业对网络流量进行恶意流量分析检测,从而针对性的采取防御措施,如各级ISP在骨干网络设备上大多采用网络流量分析检测的防御方案。
在渗透测试期间,可以利用域管权限对域内用户hash进行导出和破解。这些域内用户hash存储在域控制器(NTDS.DIT)中的数据库文件中,并带有一些其他信息,如组成员身份和用户。
如果将运维比作手链,将珍珠比作服务,那么将珍珠串起来的线就是Shell,作为实现Linux系统自动管理以及自动化运维所必备的Shell脚本,其重要性便不言而喻。
在渗透测试过程有时候会需要从已经被入侵的主机拿到你想要的凭据。 此时你已经成功通过社工获得web应用程序里面系统管理员或其他用户的权限并且已经建立了meterpreter的会话,可以转储密码哈希值或使用Mimikatz输出内存里面的明文凭证。但如果他们一两天之内没有登陆Web应用,你可以使用以下的两种方法碰碰运气。 你需要做的第一件事是,通过社工的方式进入他们的电脑。最好是使用一个powershell脚本建立一个反向连接。为什么使用powershell?因为要避免杀毒软件提醒任何管理员,而powershel
今天给大家介绍的这款工具名叫Xencrypt,它是一款基于PowerShell脚本实现的反病毒绕过工具。如果你不想花时间对类似invoke-mimikatz这样的PowerShell脚本进行混淆处理以避免其被检测到的话,那么Xencrypt就是你的最佳选择了。Xencrypt能够自动对目标脚本代码进行处理,并且可以生成近乎无限量的变种代码,以帮助研究人员绕过基于签名机制的反病毒检测产品。
钓鱼攻击是网络犯罪团伙常用的一种手段,很多勒索病毒都曾使用邮件钓鱼的方式欺骗受害者打开相应的附件,运行恶意样本,导致受害者被勒索加密,钓鱼邮件攻击也是APT攻击的常用手段之一,如果收到陌生的邮件,千万不要随便点击附件链接或打开邮件附件中的文件。
如果你以为使用BAT文件来进行攻击有点过时了,那我得请你想好再说了。在监控我们的安全邮件网关云服务时,我们发现了多个针对巴西用户的可疑的垃圾邮件。接下来,我们就给大家分析一下这个使用BAT文件来实施攻
redpill项目旨在帮助广大研究人员在后渗透任务中实现反向TCP Shell。在日常的红队活动中,我们经常需要使用非常规的方式来访问目标系统,比如说通过反向TCP Shell来绕过系统管理员部署的安全防御。
上一篇文章讲解了Powershell通过交互环境运行命令的相关知识,今天给大家介绍实际工作当中使用最频繁的方式——通过脚本运行,简单来说就是和咱们实际编写代码一样,先编写代码,然后通过开发工具执行。同样的为了实现PowerShell脚本的保存、方面在别的服务器迁移,一般都是先编写脚本,然后通过脚本文件执行完成相应的运维任务。
PowerShell 脚本执行策略用于控制何时以及何种方式执行 PowerShell 脚本。通过执行策略可以限制 PowerShell 脚本的执行范围,为系统管理员提供一定的安全保障。策略可以限制执行脚本的用户、限制执行脚本的来源等等。这些策略可以在计算机本地或组策略中进行配置。最终保护计算机免受恶意脚本和非法操作的侵害。
当括号用作文件名的一部分时,它可以用来劫持当前加载的文件,而不是 另一个恶意文件。 该文件必须包含一个匹配的char值,该值也可以在我们精心编制的文件名中找到。 要求是两个文件必须驻留在同一目录中。例如,如果文件名为[helloworldutoria1].ps1 与 名为1.ps1的文件将创建脚本劫持条件。注意,最后一个字母是数字“1”,而不是小写“l”。 我发现使用ps文件名还可以使用单个字母或数字字符作为脚本的目标 以及某些符号。 只有一个单引号的PowerShell脚本也可以工作,[pwned']。 Vuln ISE应用程序。 这些字符还可以完成工作: “$”“”“”“^”加上任何不区分大小写的字母a-z或数字0-9,[hello_world].ps1===>uu1.ps1 [您好]。PS1将改为执行此操作===>H.PS1 破折号“-”引发以下错误:“指定的通配符模式无效:[hello world].ps1”当 指向 另一个名为-.ps1的ps文件,似乎将其视为元字符。 [pw3d].ps1<==应执行 3.ps1<==实际执行 这利用了PowerShellISE和最终用户之间的信任。因此脚本调试本地或通过网络共享 显示“可信”代码 在ISE中运行。但是,当用户调试脚本时,会执行另一个脚本。 有趣的是,第二个脚本在执行时不会加载到PowerShellISE中,因此用户可能看不到 有什么不对的。 成功发生攻击需要用户交互,显然运行任何未知的PowerShell脚本都可以 危险。 同样,这种利用利用利用了“信任”的优势,用户可以看到和读取代码,并将其作为一切都信任它。 看起来很好,而且 然而…他们还是会被惩罚的!. 在Win7/10上成功测试
笔者前面介绍Azure的自动化运维时,已经引出了本系列的主角PowerShell,因为在Azure上,使用PowerShell较比使用其他语言再开发,要来得更简单快捷。
文中提及的部分技术可能带有一定攻击性,仅供安全学习和教学用途,禁止非法使用! Empire是一个纯碎的PowerShell后期漏洞利用代理工具,它建立在密码学、安全通信和灵活的架构之上。 Empire
在企业的IT环境中,密码管理是日常运维工作的一项基本任务。通常,修改用户密码需要管理员权限,但在特定的场景下,可能需要允许普通用户修改其他用户的密码。本文将介绍一个独特的PowerShell脚本解决方案,该方案通过普通用户凭据远程登录服务器,并成功修改了其他用户的密码。
如果你是一名专业的渗透测试人员,那你可能真的离不开PowerShell,但是如果目标系统中的某个策略组织我们访问PowerShel.exe,那我们该怎么办呢?没错,这个问题经常会困扰我们,而且网上也有很多的应对方法。
Windows PowerShell 是一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用 .NET Framework的强大功能。它引入了许多非常有用的新概念,从而进一步扩展了您在 Windows 命令提示符和 Windows Script Host 环境中获得的知识和创建的脚本。
我们可以提供一个更完整的批处理脚本和PowerShell脚本。确保它们都能正确处理带有前缀“选区-”的文件名。
Powerglot是一款功能强大的攻击性PowerShell脚本编码工具,该工具基于Polyglots实现其功能。本质上来说,Powerglot是一款攻击性安全工具,适用于恶意软件、权限提升、横向渗透和反向Shell等方向。
初始脚本 Get-SqlDatabase -ServerInstance localhost | Where { $_.Name -ne 'tempdb' } | Backup-SqlDatabase 使用上面的命令我们就能每天备份数据库到指定路径去。当然,这只是一个实例,加入打算备份每一个数据库在备份在各自的数据库实例的服务器上,又该如何修改上面的语句那? 目的是批量备份多个实例的数据库,注意这里需要提前把数据库实例存储在一个地方,然后循环遍历出来,代码如下: foreach $RegisteredSQ
使用上面的命令我们就能每天备份数据库到指定路径去。当然,这只是一个实例,加入打算备份每一个数据库在备份在各自的数据库实例的服务器上,又该如何修改上面的语句那?
网上有很多安装gitlab的方法,这里推荐使用docker安装,真的超级超级方便。 这里有一篇文章 docker安装配置gitlab详细过程 https://www.cnblogs.com/zuxing/articles/9329152.html 这里就不细说了。毕竟重点不是说怎么安装gitlab哈哈哈。
PowerShellArmoury是一款专为渗透测试人员、红蓝队成员或其他信息安全技术人员设计的PowerShell武器库。这个武器库提供了多种PowerShell工具,并且还允许我们下载各种PowerShell脚本,然后将其存储至一个加密文件之中。
Hack The Box是一个CTF挑战靶机平台,在线渗透测试平台。它能帮助你提升渗透测试技能和黑盒测试技能,它包含了一些不断更新的挑战,其中有模拟真实世界场景,也有倾向于CTF风格的挑战。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM
