Process-Forest-Window进程日志分析工具；python版的BloodHound

姿势

在cmd.exe使用超过256个字符时，可使cmd.exe的缓冲区溢出

ReneFreingruber提出了一个有意思的发现：当在cmd.exe使用超过256个字符时，可以使cmd.exe中的缓冲区溢出，启用调试模式，如下图所示：

Twitter链接：

https://twitter.com/ReneFreingruber/status/968841345858260993

地址无关代码重用攻击（PIROP）

来自荷兰大牛们的最新研究表明：即使在完全没有信息公开的情况下，高级攻击者也可以安装实际的代码重用攻击。 为此，他们提出了地址无关代码重用攻击（Position-Independent Code-Reuse Attacks），是一种新的代码重用攻击类别，依赖于代码在内存中的相对位置而非绝对位置。 攻击者首先让受害者程序生成一个基本的ROP Payload，之后，通过相对内存写入以小偏移量进行修补有效负载中的地址。

演示链接：

https://www.vusec.net/projects/pirop/

papers链接：

http://www.cs.vu.nl/~herbertb/download/papers/pirop_eurosp18.pdf

神器

Process-Forest-Window进程日志分析工具

Process-Forest用于处理包含进程记录事件的Microsoft Windows EVTX事件日志，并重构历史进程级别。process-forest依赖于在安全事件日志或Sysmon操作日志中启用和捕获的进程记录事件，产生新进程时，事件日志将捕获进程路径，用户名信息，PID和父PID等。通过跟踪事件pid，该工具会重建事件日志中捕获的所有进程之间的关系。

Twitter链接：

https://twitter.com/matthewdunwoody/status/969808765301112833

GitHub链接：

https://github.com/williballenthin/process-forest

python版的BloodHound

BloodHound.py，是python版的BloodHound。BloodHound采用了原始的PowerPath概念背后的一些关键概念，并将这些概念放在一个能运行且直观，并易于使用的功能中，用于提取和分析数据，可以高效准确地显示如何提升AD域中的权限。默认情况下，BloodHound.py将查询LDAP和域中的单个计算机以枚举用户，计算机，组，会话和本地管理员。这python版本还在测试阶段，有如下的限制：

目前只有单个域兼容，这包括跨域登录

只支持默认的BloodHound（SharpHound）功能，所以只支持Groups，Admins和Sessions

名称，命令行参数和功能将来可能会发生变化

Kerberos支持大多未经测试

该脚本目前是单线程的

Twitter链接：

https://twitter.com/_dirkjan/status/968159947233153025

GitHub链接：

https://github.com/fox-it/BloodHound.py

资讯

phantomjs不再维护

R.I.P:phantomjs不再进行开发和维护，具体可看github上的公告 ，感觉应该是回不来了，https://github.com/ariya/phantomjs/issues/15344，推荐使用替代者：Puppeteer，一款无头chorme，用法可以参考github：https://github.com/GoogleChrome/puppeteer

SCLib: 针对Android应用程序中组件劫持的轻量级防御组件库

Daoyuan Wu等研究者则提出了针对Android应用程序中组件劫持攻击的轻量级防御组件库SCLib。SCLib是应用层的防御，以安全组件库的形式提供给开发者，用于应用程序组件控制。据研究者所说：因代码写得较匆忙，暂时未开源

papers连接：

https://daoyuan14.github.io/papers/CODASPY18_SCLib.pdf

欢迎酷爱技术的你来破壳交流。

↓点击直通破壳