文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布

你的Outlook真的安全?一条恶意规则远程攻陷你的工作站!

只要目标设备开启Outlook并认证登录,那么我们在不需要获取登录凭证的情况下,就能拿下已经开启的会话。 这里的PoC工具名为XRulez,这是个Windows可执行程序。...XRulez连接到Exchange服务器利用的是一条由Outlook客户端提供的存活的MAPI会话(MAPI,消息应用程序编程接口),然后在默认接收相关信息表里创建新邮件,这是目标邮箱的存储规则。...“消息应用程序编程接口(MAPI)是一种消息传送架构和Microsoft Windows基于API的组件对象模型。...在进一步的调查之后,我发现,这是因为Outlook在后台运行了。Outlook后面进行的任何MAPI连接都是已经通过验证的,并不需要重新认证,允许现有的MAPI会话被共享。 ?...该属性的描述文档谈到,这是客户端生成的不透明blob,但它也会被用于验证。当字段为空白或者设置有误的时候,Outlook将会无视这条规则,并且将其删除。

3.8K70

Outlook紧急安全防护:全面解析CVE-2023–23397权限提升漏洞及其防御策略

这是一个通过发送Outlook消息或日历事件就能轻松利用的漏洞。...攻击者可以通过向Outlook用户发送包含名为PidLidReminderFileParameter的恶意扩展MAPI属性的特制消息来利用此漏洞。...当Outlook客户端收到TNEF消息时,它会解析此附件以重新创建带有所有MAPI属性的完整格式化消息。...你可以使用名为MFCMAPI的工具查看与对象关联的扩展MAPI属性。当Outlook在接收端处理此消息时,被“植入恶意代码”的扩展属性会触发漏洞,从而窃取NTLM哈希。...点击或按回车键查看全尺寸图片显示扩展MAPI属性值的MFCMAPI屏幕截图(来源:微软)通过利用TNEF,攻击者可以可靠地传递恶意MAPI属性,同时传输一个对用户来说看似无害且良性的纯文本正文。

10510
    • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    你一定没见过的高扩展性 ReactVue 修饰器

    所以也要提供 schema 中指定的组件对象。 plugins 插件,逻辑控制中的“绑定属性与事件”(对应能力 c 和 d )是用插件来写的,这是 Sifo 的一个重要特点。...Sifo 中插件分为三类:模型插件、页面插件和组件插件,各类插件可以实现丰富的功能,这里暂不展开。...与目标组件通信,如进行组件状态变更等(进阶) 3.2.1 sifoApp 属性 这里需要先讲 sifoApp 属性,这是 sifoAppDecorator 注入到目标组件的 props 上的一个对象。...基本用法:sifoApp.watch("updateData", watchHandler)sifoApp 中也包含了 mApi 对象,上面列的几个方法最终也是调用了 mApi,mApi 是 Sifo...的主要接口对象,提供了很多其它能力,这里暂不展开。

    1K20

    域内横向移动分析及防御

    //github.com/brav0hax/smbexec 介绍了下使用方法 八、DCOM在远程系统中的使用 DCOM(Distributed Component Object Model,分布式组件对象模型...)是微软的一系列概念和程序接口 基于组件对象模型(COM),COM提供了一套允许在同一台计算机上的客户端和服务端之间进行通信的接口(Win95及之后) 客户端程序对象能够对网络中的另一台计算机上的服务器程序对象发送请求...Exchange开发了私有的MAPI协议用于收取邮件 Exchange支持的访问接口和协议: OWA(Outlook Web App):Exchange提供的Web邮箱 EAC(Exchange Administrative...Center):Exchange管理中心,后台 Outlook Anywhere(RPC-over-HTTP,RPC/HTTP) MAPI(MAPI-over-HTTP,MAPI/HTTP) Exchange

    2.1K11

    微软Outlook中#MonikerLink漏洞的风险和大局观

    这是每个Outlook用户都知道的一个非常明显的行为。 有人可能想知道除http/https之外的其他协议表现如何?为此,研究人员特地做了测试。...Windows通知中心区域中的错误信息如下所示: 【图2:当用户单击指向远程文件的典型超链接时,Outlook显示一条错误消息】 这是合理的,且有利于安全。...事实上,根据深入分析显示,Outlook将该链接视为“Moniker Link”。Monikers是Windows上组件对象模型(COM)的关键概念之一。...因此,测试过程确认了Outlook调用API - MkParseDisplayName()来查找Moniker Link字符串指向的COM对象的过程。 组件对象模型(COM)相当复杂;它涉及很多概念。...一些读者可能会怀疑这是否是一个真正的问题?将其与Outlook上的其他攻击向量进行比较会如何?这是个好问题。 Outlook攻击向量的完整概述已经很好地解答了这个问题。

    1.1K10

    Operation ForumTroll复燃:针对俄罗斯学术界的定向钓鱼攻击分析

    相较于传统军事或政府目标,高校和智库往往安全防护薄弱,却掌握大量未公开的地缘政治研判、经济模型与政策建议,具有极高的战略价值。...v3变种,主要功能包括:枚举特定目录(如Desktop、Documents、OneDrive)中包含“policy”、“sanction”、“Eurasia”等关键词的.docx、.pdf文件;截取Outlook...通信记录(通过MAPI接口读取本地.pst文件);定期截屏并压缩上传;通过注册表项HKCU\Software\Microsoft\Windows\CurrentVersion\Run实现开机自启。...关键检测规则包括:Word.exe创建子进程svchost.exe(非常规行为);写入%TEMP%的PE文件无数字签名;进程尝试访问Outlook对象模型。

    15710

    ASP.NET Core的配置(4):多样性的配置来源

    JsonConfiguationProvider 我们可以将配置定义在一个JSON文件中,最终利用JsonConfiguationProvider加载该文件并将以JSON格式表示的配置原始数据转换成配置字典供配置模型使用...>对象。...当我们通过一个XML元素表示一个复杂对象的时候,对象的数据成员定义成当前XML元素的子元素。如果数据成员是一个简单数据类型,我们还可以选择将其定义成当前XML元素的属性(Attribute)。..." PhoneNo="123456789"/> 3: 虽然XML对数据结构的表达能力总体要强于JSON,但是对于配置模型的一种数据来源却有自己的局限性,比如它们对集合的表现形式有点不尽如人意...我之所以觉得这是一种不算理想的解决方案,只要源于两个因素:其一,直接赋予名为“Name”(不包含命名空间)的XML属性特殊的语义和行为是不合理的,假如Profile同样具有一个Name属性(这个属性实在太常见了

    1.3K80

    多阶段云分片钓鱼攻击中UpCryptor恶意载荷的行为分析与防御

    与传统单一可执行文件投递不同,此次攻击采用“分块托管于多云对象存储”的策略,将恶意载荷切割为多个小体积片段,分别存放于AWS S3、Azure Blob及Google Cloud Storage等平台的不同账户下...2.2 威胁模型假设攻击者具备以下能力:控制多个云存储账户,可上传并管理分片载荷;编写混淆脚本与反射加载器;实施基础环境侦察(如时区、语言);动态更新后端C2指令与插件模块。...凭据窃取:使用DPAPI解密Chrome/Edge/Firefox保存的密码;调用MAPI接口提取Outlook邮件与联系人;扫描本地VPN配置(如OpenVPN、Cisco AnyConnect)并导出证书...4.4 凭据安全:最小化与短期令牌推行以下策略:禁止浏览器保存工作账号密码;Outlook使用现代认证(OAuth 2.0)替代基本认证;VPN与远程工具启用MFA,并颁发短期会话令牌(模型,才能应对持续演化的威胁。

    17110

    Tryhackme深度剖析:Moniker Link漏洞(CVE-2024-21413)的攻击机制与利用

    该漏洞绕过了Outlook在处理特定类型超链接(即Moniker Link)时的安全机制。...然而,Outlook的“受保护的视图”会捕获并阻止此尝试。此处的漏洞在于,我们修改了超链接,在Moniker Link中包含 ! 特殊字符和一些文本,从而绕过了Outlook的受保护的视图。...远程代码执行(RCE)是可能的,因为Moniker Link在Windows上使用了组件对象模型(COM)。...= file://用于绕过Outlook“受保护的视图”的特殊字符是什么?= !...= netNTLMv2其余任务与新Outlook更新有关,如果不查看答案,很可能无法完成该房间的学习,这就是为什么答案会在任务本身中指明。这是我的学习总结,希望对你有所帮助,别忘了关注。

    12010

    深入解析Microsoft Outlook严重RCE漏洞:Moniker Link (CVE-2024-21413) 原理与利用

    该漏洞在处理一种特定类型的超链接(称为Moniker Link)时,能够绕过Outlook的安全机制。...然而,Outlook的“受保护的视图”会捕获并阻止此尝试。此处的漏洞在于,我们可以修改超链接,在Moniker Link中包含 ! 特殊字符和一些文本,从而绕过Outlook的受保护的视图。...远程代码执行(RCE)之所以可能,是因为Moniker Links使用了Windows上的组件对象模型(COM)。...= file://用于绕过Outlook“受保护的视图”的特殊字符是什么?= !...= netNTLMv2其他任务涉及新的Outlook更新,如果不查看答案,您很可能无法完成练习,这就是为什么答案会在任务中指明。这是我的学习总结,希望对你有所帮助,别忘了关注。

    8910

    深度剖析Outlook高危漏洞CVE-2024–21413:Moniker Link的利用与防御

    该漏洞在处理一种称为“Moniker Link”的特殊超链接时,绕过了Outlook的安全机制。...然而,Outlook的“受保护的视图”功能会捕获并阻止此尝试。...远程代码执行是可能的,因为Moniker Link在Windows上使用了组件对象模型。不过,对此进行解释目前超出了本房间的范围,因为尚未有公开发布的通过此特定CVE实现RCE的概念验证。...= file://用于绕过Outlook“受保护的视图”的特殊字符是什么?= !...= netNTLMv2其他任务涉及新的Outlook更新,如果不看答案,你可能无法完成房间,因此答案已在任务本身中给出。这是我的学习总结,希望对你有帮助,别忘了关注。

    10510

    Office 2007 实用技巧集锦

    里选择【正文】样式即可; 第二招:选中页眉中的文字,在【开始】选项卡的【段落】边框下拉按钮中选择【无框线】; 其实页眉下面的黑线是由于默认的页眉样式造成的,所以还可以通过修改页眉的样式来去掉黑色下划线--这是第三招...追踪数据的来龙去脉 当Excel中的数据模型和运算过程十分复杂时,往往会导致运算结果不正确,但在如此庞大的工作表中查找错误的根源显然是件很复杂的事情。...这是因为我们连续选择的时候同样会选中隐藏的行或列。...其实这是主题颜色在搞怪。...PowerPoint对象布局调整技巧 为了进行展现,往往会在PowerPoint中插入大量的对象:图片、文本框、线条、形状、SmartArt,如何能够让这些对象快速对齐、平均分布?

    9.1K10

    Office 2007 实用技巧集锦

    里选择【正文】样式即可; 第二招:选中页眉中的文字,在【开始】选项卡的【段落】边框下拉按钮中选择【无框线】; 其实页眉下面的黑线是由于默认的页眉样式造成的,所以还可以通过修改页眉的样式来去掉黑色下划线--这是第三招...追踪数据的来龙去脉 当Excel中的数据模型和运算过程十分复杂时,往往会导致运算结果不正确,但在如此庞大的工作表中查找错误的根源显然是件很复杂的事情。...这是因为我们连续选择的时候同样会选中隐藏的行或列。...其实这是主题颜色在搞怪。...PowerPoint对象布局调整技巧 为了进行展现,往往会在PowerPoint中插入大量的对象:图片、文本框、线条、形状、SmartArt,如何能够让这些对象快速对齐、平均分布?

    9.1K10

    可能是Salesforce与Microsoft Dynamics 365的最全面的比较

    这是Salesforce®和Microsoft Dynamics™365的基于事实的比较。对于那些为正在准备上CRM项目的公司来说,以下信息是一点提示。 ?...2012年,微软收购了Yammer,这是一个知名的企业协作应用程序的工具。 2016年,微软收购了LinkedIn。 在2018年6月,微软宣布收购GitHub。...产品概览 Salesforce Salesforce仅提供基于托管订阅模型的版本。 它不提供本地版本。此外,Salesforce仅适用于多租户共享实例平台。...仔细研究技术供应商的安全模型和选项非常重要。以下是一个High level的概览。 Salesforce 对于组织访问的所有用户,Salesforce默认为双因素身份验证。...支持Web上的Microsoft Outlook,Outlook 2016,Outlook for Mac 2016和Outlook 2013。

    8.8K40

    Red Team 工具集之攻击武器库

    其成因是Microsoft PowerPoint执行时会初始化Script Moniker对象,而在PowerPoint播放动画期间会激活该对象,从而执行sct脚本(Windows Script Component...-8759 该漏洞的技术原理和今年黑客“奥斯卡”Pwnie Awards 上的最佳客户端漏洞(CVE-2017-0199)如出一辙,不同的是,这次黑客在 Offcie 文档中嵌入新的 Moniker 对象...https://github.com/danielbohannon/Invoke-Obfuscation Invoke-DOSfuscation 这是一个 cmd 命令混淆框架。...https://github.com/api0cradle/UltimateAppLockerByPassList Ruler 这个工具可以利用 MAPI/HTTP 或 RPC/HTTP 协议与远程的...Exchange 服务器进行交互,主要功能有:枚举有效用户、创建新的恶意邮件规则、保存全局邮件地址列表(GAL)、通过表单执行 VBScript、通过 Outlook 主页执行 VBScript。

    3.2K00

    2.2 PowerBI数据建模-维度值不完整,切片器出现空白选项

    这是怎么回事呢?解决方案问题的根源在于维度表的不完整。与维度表关联的至少某一个事实表中出现了维度表没有的值,维度表会在背后自动补充一个空白选项来与之对应。...操作步骤STEP 1 在模型视图查看与出现空白的字段对应的维度表关联的事实表。STEP 2 在画布中,逐个把维度表和事实表关联的列拖入表视觉对象,就能看到维度表中空白选项对应的事实表中的值了。...i 把客户表的客户和销售表的客户拖入表视觉对象中,发现维度表的客户列并没有空白选项,说明空白选项不是由销售表带来的。...ii 把客户表的客户和库存表的客户拖入表视觉对象中,发现维度表的客户列出现了空白选项,同时可以看到是库存表中的客户E带来的空白选项。

    36500

    HAWQ + MADlib 玩转数据挖掘之(十一)——分类方法之决策树

    目标函数或规则也叫分类模型(Classification Model),它有两个主要作用:一是描述性建模,即作为解释性的工具,用于区分不同类的对象;二是预测性建模,即用于预测未知记录的类标号。 2....(2)决策树的剪枝         在实际构造决策树时,通常要进行剪枝,这是为了处理由于数据中的噪声和离群点导致的过分拟合问题。...这是一个强制参数,用于预测和交叉验证。每行的ID值应该是唯一的。 dependent_variable:TEXT类型,包含用于训练的输出列名。...如果以特征“outlook”=overcast作为测试条件,结果有0行“Don't play”,4行“Play”,节点1为叶子结点。...(1)变量outlook的范畴被划分为两组:多云天和其它。我们得出第一个结论:如果天气是多云,人们总是选择玩高尔夫。

    1.6K100
    点击加载更多

    相关资讯

    热门标签

    更多标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      腾讯云开发者

      扫码关注腾讯云开发者

      扫码关注腾讯云开发者

      领取腾讯云代金券

      热门产品

      热门推荐

      更多推荐

      Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

      深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 粤公网安备44030502008569号

      腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号

      领券