远控免杀从入门到实践(2)工具总结篇 编程相关

远控免杀从入门到实践(2)工具总结篇

郑重声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担!  《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践 (1)基础篇 2、远控免杀从入门到实践 (2)工具总结篇 3、远控免杀从入门到实践 (3)代码篇-C/C++ 4、远控免杀从入门到实践 (4)代码篇-C# 5、远控免杀从入门到实践 (5)代码篇-Python 6、远控免杀从入门到实践 (6)代码篇-Powershell ...
最新
阅读全文
远控免杀从入门到实践(一):基础篇 编程相关

远控免杀从入门到实践(一):基础篇

郑重声明 1、文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途以及盈利等目的,否则后果自行承担! 2、文中提到的杀软检测指标是 virustotal.com(简称VT)上在线查杀结果,所以只是代表了静态查杀能力,数据仅供参考,不足以作为杀软查杀能力或免杀工具的判断指标。 《远控免杀从入门到实践》系列文章目录: 1、远控免杀从入门到实践(1)-基础篇 2、远控免杀从入门到实践(2)-工具总结篇 3、远控免杀从入门到实践(3)-代码篇-C/C++ ...
阅读全文
渗透痕迹分析随笔 渗透测试

渗透痕迹分析随笔

网上,关于入侵痕迹分析的文章很多,在此将个人工作中常用的一些方法技巧(班门弄斧了),以及爬过的坑总结如下(当然,其中有些方法也是从各位前辈的经验中学习的)。入侵痕迹分析,不外乎正向推理,和逆向推理。当已经掌握部分线索时,可通过逆向推理,快速确定事发时间、影响范围、事发原因等;当没有明确的线索,可以入侵者的视角,通过正向思维进行推理,从而发现入侵行为;两种方法都可以以敏感文件、敏感命令、敏感IP、攻击特征关键字为线索,推理出事发时间、事发原因。  一、针对.bash_history的分析 在对日志进行例行安全分析时,对文件.bash_history的分析必不可少,该文件记录了...
阅读全文
提权总结以及各种利用姿势 提权教程

提权总结以及各种利用姿势

本文章适合正在学习提权的朋友,或者准备学习提权的朋友,大佬就可以绕过了,写的比较基础。我也是一个小白,总结一下提权的姿势和利用,也分享一些自己觉得好用的方法给大家,欢迎大家帮我补充,有什么好用的提权的方法也可以分享一下,大家共同进步。本篇有自己的理解,如果有什么不对的或者不好的地方希望大家不要喷我,但是欢迎帮我指正。 提权的含义: 提权,顾名思义就是提升权限,当我们getshell一个网站之后,大部分情况下我们的权限是非常低的(一般只是一个apache权限)。这时候为了“扩大战果”,就需要利用提权,来让原本的低权限(如只允许列目录)–>高权限(拥有修改文件的能力),提升一下权限...
阅读全文
PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析 渗透测试

PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析

国外安全研究员 Andrew Danau在解决一道 CTF 题目时发现,向目标服务器 URL 发送 %0a 符号时,服务返回异常,疑似存在漏洞。 2019年10月23日,github公开漏洞相关的详情以及exp。当nginx配置不当时,会导致php-fpm远程任意代码执行。 下面我们就来一点点看看漏洞的详细分析,文章中漏洞分析部分感谢团队小伙伴@Hcamael#知道创宇404实验室 漏洞复现 为了能更方便的复现漏洞,这里我们采用vulhub来构建漏洞环境。 ...
阅读全文
phpStudy后门简要分析 渗透测试

phpStudy后门简要分析

问题概要 有问题的版本如下 phpStudy20180211版本 php5.4.45与php5.2.17 ext扩展文件夹下的php_xmlrpc.dll phpStudy20161103版本 php5.4.45与php5.2.17 ext扩展文件夹下的php_xmlrpc.dll 注:这两个官网下载的版本里,都没有发现php5.3版本下存在有问题的php_xmlrpc.dll,打开时会提示存在pdb路径信息。 字符串搜索无发现 来源 ...
阅读全文
利用CobaltStrike捆绑后门的艺术 神兵利器

利用CobaltStrike捆绑后门的艺术

CobaltStrike(以下全部简称为CS)是渗透测试中常用的一个后渗透工具,它可以快速地生成后门并通过其控制目标主机。其中,捆绑型后门是攻击者较为喜欢的一种后门,因为其具有较好的隐蔽性及免杀效果。下面,就来剖析一下该类后门的捆绑及免杀原理。 一、后门制作 制作捆绑型后门前,先得创建一个监听器用于与后门通信,点击 Cobalt Strike->Listener创建一个监听器,填上IP和端口号,点击save,就可完成创建。选择端口时,可以使用一些较少为使用的协议端口,好伪装,如下选择的2333端口,是snapp协议的端口。 接下来,就可以制作捆绑型的后...
阅读全文
浅谈MSF渗透测试 渗透测试

浅谈MSF渗透测试

在渗透过程中,MSF漏洞利用神器是不可或缺的。更何况它是一个免费的、可下载的框架,通过它可以很容易地获取、开发并对计算机软件漏洞实施攻击。它本身附带数百个已知软件漏洞的专业级漏洞攻击工具。是信息收集、漏洞扫描、权限提升、内网渗透等集成的工具。 前不久MSF从4.7升级到MSF5.0,其中改进了数据库的处理逻辑,优化了msfconsole终端操作,并将PostgreSQL作为一个RESTful服务单独运行。此外还加入一个Web服务框架,新的免杀模块,优化了控制功能等。 下面小白总结了一下在渗透测试中,使用频率较多的MSF命令,分为以下几块来讲。 信息收集 ...
阅读全文
APT之迂回渗透 渗透测试

APT之迂回渗透

引言  随着信息安全行业发展,很多企业,政府以及互联网公司对网络安全越来越重视。习大大指出,没有网络安全就没有国家安全,没有信息化就没有现代化。 众所周知,现在的安全产品和设备以及对网络安全的重视,让我们用常规手段对目标渗透测试的成功率大大降低。当然,对于一些手握0day的团队或者个人来说,成功率还是很高的。 迂回渗透:迂回,是指在思想或表达方式上绕圈子的性质或状态;从字面上讲是曲折回旋的;环绕的。迂回曲折。渗透,指渗入;透过液体渗透多孔物体。另还比喻某种事物或势力逐渐进入其他方面。这里所说的意思是避过正面安全产品和设备,从“侧面”进行渗透。这个“侧面”就是我们现在一起交流的一个方式。...
阅读全文
未授权访问漏洞总结 渗透测试

未授权访问漏洞总结

未授权访问漏洞可以理解为需要安全配置或权限认证的地址、授权页面存在缺陷导致其他用户可以直接访问从而引发重要权限可被操作、数据库或网站目录等敏感信息泄露。 常见的未授权访问漏洞 1.MongoDB 未授权访问漏洞 2.Redis 未授权访问漏洞 3.Memcached 未授权访问漏洞CVE-2013-7239 4.JBOSS 未授权访问漏洞 5.VNC 未授权访问漏洞 6.Docker 未授权访问漏洞 7.ZooKeeper 未授权访问漏洞 8.Rsyn...
阅读全文
利用DNS隧道构建隐蔽C&C信道 渗透测试

利用DNS隧道构建隐蔽C&C信道

背景介绍 无论是高级持续性威胁(APT)、僵尸网络(Botnet),还是勒索软件、后门等,命令与控制信道(C&C)都是其重要组成部分,尤其是APT和僵尸网络中的C&C信道决定了其威胁程度。学术界和工业界就C&C方面的研究已逐渐深入,目前网络战格局逐渐形成,公众对网络安全逐渐重视,网络空间中的攻防双方持续较量。 迫于当前形势,攻击者逐渐转向“低调”,近年曝光的多起大型APT攻击事件都倾向于构建隐蔽的的C&C信道。因此,我们必须从攻击者视角思考,哪些技术可以被恶意利用到构建隐蔽的C&C信道,从而在相应应对策略上取得先机。 一、DNS协议...
阅读全文
Buhtrap黑客组织最新0day漏洞分析 代码审计

Buhtrap黑客组织最新0day漏洞分析

一直以来Buhtrap组织以其针对俄罗斯的金融机构和企业而闻名。在我们的跟踪过程中,发现并分析了该组织的主要后门以及其他工具。 自2015年底以来,该组织变为以经济利益位目的的网络犯罪组织,其恶意软件出现于东欧和中亚进行间谍活动中。 2019年6月我们第一次发现Buhtrap使用0day攻击作。 同时我们发现Buhtrap在攻击过程中使用了本地提权漏洞CVE-2019-1132。 在Microsoft Windows中的本地权限提升漏洞利用的是win32k.sys组件中的NULL指针取消引用产生的问题。 该漏洞发现后就已经向Microsoft安全响应中心报告,该中心及时修...
阅读全文
MuddyWater APT组织使用的多阶段后门POWERSTATS V3 渗透测试

MuddyWater APT组织使用的多阶段后门POWERSTATS V3

近期,我们又对MuddyWater APT组织的活动进行了分析,并且发现他们使用了新的攻击工具以及更加有效的Payload,这也表明MuddyWater APT仍然在不断地优化他们的攻击方案。在这篇文章中,我们将对MuddyWater APT所使用的新型多阶段后门和Android恶意软件变种等攻击组件进行分析。 在其中的一次攻击活动中,他们向约旦的一所大学和土耳其政府发送了网络钓鱼邮件,虽然邮件发件人的合法性是有保证的,但攻击者已经提前入侵了这个电子邮件账号,并欺骗目标用户安装恶意软件(通过邮件中的钓鱼链接或恶意附件)。 我们通过分析发现,攻击者采用了一种...
阅读全文
一次CMS源码审计与漏洞发现 代码审计

一次CMS源码审计与漏洞发现

0×01 环境搭建 选用了XAMPP 与 DM企业建站v20190522 进行代码审计。XAMPP(Apache+MySQL+PHP+PERL)是一个功能强大的建站集成软件包,主界面如下: 0×02 代码审计 CMS通常会包含install文件,方便用户网站一键搭建。但是该文件也是经常出现漏洞的位置,本次审计的CMS漏洞也是出现在安装部分,具体细节如下: [+] 漏洞位置 :/install.php if($act=='doit'){ echo ' <div class="wrap"> '; $local = htmlenti...
阅读全文
应急响应系列之OA被入侵挖矿分析报告 渗透测试

应急响应系列之OA被入侵挖矿分析报告

一 基本情况 1.1  简要 此事件是去年应急处置时完成的报告,距今有半年时间了。一直存在电脑里,最近准备完善应急响应中遇到的各类安全事件,这篇文章作为这一系列的开端。 对于 Linux 安全检查,个人上段时间写了个 shell 用于一键进行 Linux 安全检查,本文对 Linux 的检查使用相关脚本均可实现,相关链接如下: https://mp.weixin.qq.com/s/S0OmDRU6uQo8LBBK-GUAaQ https://github.com/T0xst/linux 1.2 情况简介 ...
阅读全文
浅谈入侵溯源过程中的一些常见姿势 渗透测试

浅谈入侵溯源过程中的一些常见姿势

0×0 背景 攻击溯源作为安全事故中事后响应的重要组成部分,通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法,有助于修复漏洞与风险避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性,就能更好地控制后果。 说人话:被黑了就要知道为什么被黑了怎么被黑的,不能这么不明不白。 0×1 主体思路 溯源的过程当中的时候除开相关的技术手段之外,首先还是需要确认一个整体的思路。对异常点进行一个整体的分析并根据实际环境给出几种可能的方案,这样处理起问题相对就可以游刃有余心里有谱,手上就不慌了。 常规出现的、容易被用户...
阅读全文
看我如何揪出远控背后的幕后黑手 渗透测试

看我如何揪出远控背后的幕后黑手

0×01 前言 写这篇文章时,这次的渗透已经完成一周多了,当时也没有想到会要写文章出来,所以有一部截图是后来补上的,为了我的人身安全,有涉及到的敏感信息,我都会打码,请多多包涵。 0×02 事情的起因 最近加了很多信息安全相关的QQ群,不得不说,在这些群里面受益匪浅,不过发现几个QQ群友,一直在推广他们的全自动渗透工具,会经常蹦出来什么全自动getshell工具箱、exp批量利用工具、电脑手机远程管理工具等等,还有很多我没听说过的工具,比如下面这些。 0×03 发现可疑文件 花了半天时间,下载了QQ群中大大小小好几款相关...
阅读全文
奇淫技巧之Metasploit远程代码执行“冲击波” 渗透测试

奇淫技巧之Metasploit远程代码执行“冲击波”

最近在整理各种漏洞的利用技巧,我在Freebuf上每天都能获取很多干货,为了回馈freebuf和各位小伙伴,希望我的文章能帮到大家,希望大家能将这种分享精神发扬光大! 本文仅用于安全教育和技术研究学习,切勿违法使用。 一、经典漏洞复现(MS08-067) 非常感谢John Lambert在几年前发表的MS08-067漏洞事件回忆录,它帮我们认识到,即使身处今天这样复杂的攻击威胁下,MS08-067漏洞事件仍然具有参考和借鉴意义。 Conficker蠕虫利用了MS08-067漏洞,加入了NetBIOS感染方式,对当时全球大量组织机构造成了破坏性影响,成为了所...
阅读全文
个人总结的漏洞管理流程分享 渗透测试

个人总结的漏洞管理流程分享

一、概述 合适的漏洞响应可以尽快减少易受攻击的产品实例的数量,并减少针对易受攻击系统的攻击。 良好的漏洞管理流程的作用: 对组织: 提升漏洞修复效率 降低漏洞再次发生的可能性 漏洞修复建议知识库 降低整体安全风险 对用户: 降低用户个人信息暴露的风险 二、漏洞处理相关的标准和流程 2.1 ISO/IEC 29147 和 ISO/IEC 30111 漏洞批露标准ISO/IEC 29147: ...
阅读全文
警惕!WinRAR漏洞利用升级:社工、加密、无文件后门 渗透测试

警惕!WinRAR漏洞利用升级:社工、加密、无文件后门

背景 2019年2月22日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。 正如我们的预测,在接下来的几天内,360威胁情报中心截获了多个使用WinRAR漏洞传播恶意程序的样本,并且我们还观察到了多个利用此漏洞进行的APT攻击活动。可以明显的看到,攻击者针对该漏洞利用做了更精心的准备,比如利用WinRAR压缩包内图片列表不可预览来诱导目标极大概率解压恶意文件、将恶意ACE文件加密后投递、释放“无文件”后门等。 事实证明,利用该漏洞传播恶意程序的攻击行为正处在爆发的...
阅读全文