无招胜有招: 看我如何通过劫持COM服务器绕过AMSI 渗透测试

无招胜有招: 看我如何通过劫持COM服务器绕过AMSI

在Windows 10中,Microsoft的反恶意软件扫描接口(AMSI)被作为新功能被引入,作为标准接口,该功能可以让反病毒引擎将特征规则应用于机器的内存和磁盘上的缓冲区中去。这使的反病毒产品能够在恶意程序的脚本被解释执行之前执行劫持操作,这在一定程度上意味着任何的代码混淆或加密都有相对应的例程去还原和解密程序。如果需要更多详细的有关AMSI的信息,您可以在这里阅读有关AMSI的更多信息。 在这篇文章中,我们将阐述一种通过劫持COM服务器来绕过AMSI的方法, 并分析Microsoft如何在build#16232中修复该绕过,然后再讨论如何再次绕过微软对该漏洞的修复。 ...
最新
阅读全文
斯诺登最新泄露文档:揭秘美国部署在澳洲的秘密监控设施“Rainfall” 界内新闻

斯诺登最新泄露文档:揭秘美国部署在澳洲的秘密监控设施“Rainfall”

前 NSA 雇员斯诺登最新泄露的文档,曝光了美国某个位于澳洲北部领地的边远小镇旁的机密设施。这个秘密基地通过监控无线通讯,协助美军展开任务执行。这份文档同样也是来自 2013 年斯诺登泄露 NSA 的机密材料,近期才在 The Intercept 上公开。 文档显示,秘密设施代号 “Rainfall”,官方的名称叫松树谷(Pine Gap)共同防御设施。这个“松树谷”就是由美国与澳洲共同营运的卫星地面观测站。自1988年起官方正式称其为松树谷共同防御设施(Joint Defence Facility Pine Gap),原先则以共同防御太空研究设施(Joint Defence ...
阅读全文
Python列为黑客应该学的四种编程语言之一 初学者该怎么学 Python

Python列为黑客应该学的四种编程语言之一 初学者该怎么学

在开始前先简单和大家说一说:Python是什么.呢? 也许最初设计Python这种语言的人都没有想到今天Python会在工业和科研上获得如此广泛的使用。著名的自由软件作者Eric Raymond在他的文章《如何成为一名黑客》中,将Python列为黑客应当学习的四种编程语言之一,并建议人们从Python开始学习编程。这的确是一个中肯的建议,对于那些从来没有学习过编程或者并非计算机专业的编程学习者而言,Python是最好的选择之一。 Python 是一个高层次的结合了解释性、编译性、互动性和面向对象的脚本语言。 Python 的设计具有很强的可读性,相比其他语言经常使用英文关...
阅读全文
浅谈Web渗透测试中的信息收集 渗透测试

浅谈Web渗透测试中的信息收集

下面一张图比较详细的介绍了渗透测试中的信息收集,看过许多 freebuf 大牛写的文章,今天也给大家分享一些自己的经验(也就一小白,错误的地方各位牛牛多多指正)。  信息收集对于渗透测试可以说是重中之重,正所谓“知己知彼,百战不殆”。所以我们的信息收集也是一样,收集的信息自然也是越多越好,这里有个文章http://www.doc88.com/p-7784047461299.html,这里的PTES渗透测试执行标准(诸葛建伟翻译)中信息收集也是占到了差不多60%的样子,可见渗透测试中信息收集的重要,废话不多说进入正题。 首先是whois信息,whois(读作“W...
阅读全文
Angr:一个具有动态符号执行和静态分析的二进制分析工具 神兵利器

Angr:一个具有动态符号执行和静态分析的二进制分析工具

什么是angr: angr是一个二进制代码分析工具,能够自动化完成二进制文件的分析,并找出漏洞。在二进制代码中寻找并且利用漏洞是一项非常具有挑战性的工作,它的挑战性主要在于人工很难直观的看出二进制代码中的数据结构、控制流信息等。angr是一个基于python的二进制漏洞分析框架,它将以前多种分析技术集成进来,­­­它能够进行动态的符号执行分析(如,KLEE和Mayhem),也能够进行多种静态分析。 angr的基本过程: 1)将二进制程序载入angr分析系统 2)将二进制程序转换成中间语言(intermediate representation, ...
阅读全文
工具解析|杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具 界内新闻

工具解析|杀毒引擎惨遭打脸,黑帽大会爆惊天免杀工具

今年的黑帽大会上,可谓是精彩不断。与往届大会对比看来,当属2017这届最有看头。各种推陈出新的技术暂且不论,光是爆出的新免杀工具AVET就足以惊艳全场。 该工具具有极强的病毒逃避功能,可以使原本弱小的病毒成为强力杀手,同时还可以使它们变为查杀工具的噩梦。 今天就来和大家一起分享下有关这款AVET免杀工具的测试情况。 首先,测试该工具前我们最好先部署一个基础的安全环境,以便应用于对它的测试,避免自己兴奋过头而中招,那样就很尴尬了。 安全环境设置好后,我们还需要确认机器中是否安装了Wine。 确认工作完毕后,我们开始下载测试所需的编译器TDM-GCC。...
阅读全文
各种隐藏WebShell、创建、删除畸形目录、特殊文件 渗透测试

各种隐藏WebShell、创建、删除畸形目录、特殊文件

说到隐藏WebShell 的方法,从最初的包含图片(#include file="a.jpg")、 设置文件隐藏属性(Fso 组件可以做到,完全支持),再到较早的畸形目录、 特殊文件名(两年前开始流行),或者两者结合使用(例如:c:\a.\aux.txt), 直到现在的驱动级隐藏(大约一年半前开始流行),这些小黑客们也算是有一点进步吧…… 先扫盲,普及一下相关知识: 畸形目录: 目录名中存在一个或多个. (点、英文句号) 特殊文件名: 其实是系统设备名,这是Windows 系统保留的文件名,普通方法无法访问, 主要有:lpt,aux,com1-9,...
阅读全文