BYOVD为Bring Your Own Vulnerable Driver缩写,该缩写为业内共识,解释为向目标环境植入一个带有漏洞的合法驱动程序,利用驱动漏洞获得内核权限,实现任意代码执行或终止任意...
windows-lsass转储篇
lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问LSA...
ATT&CK -
PPID欺骗 对手可能会欺骗新进程的父进程标识符(PPID),以逃避进程监视防御或提升特权。除非明确指定,否则通常直接从其父进程或调用进程中产生新进程。显式分配新进程的PPID的一种方法是通过Crea...
ATT&CK - 禁用安全工具
禁用安全工具 攻击者禁用安全工具,以避免他们的工具和活动被检测到。可以采取以下形式:终止安全软件或事件日志记录流程、删除注册表项以便工具不会在运行时启动,或者使用其他方法干扰安全扫描或事件报告。 缓解...
ATT&CK -
DLL 侧载 程序可以指定在运行时加载的 DLL。 不正确或模糊地指定所需 DLL 的程序可能会导致漏洞,从而加载非预期 DLL。 当 Windows Side-by-Side (WinSxS) 的 ...
ATT&CK - 在其他网络媒介上数据渗漏
在其他网络媒介上数据渗漏 数据渗漏有可能发生在不同的网络媒介上,而不是命令与控制信道。如果命令与控制网络是有线因特网连接,那么可以通过例如 WiFi 连接,调制解调器,蜂窝数据连接,蓝牙或其他射频(R...
【免杀】DumpHash如何躲避杀软?
想第一时间看到我们的大图推送吗?赶紧把我们设为星标吧!这样您就不会错过任何精彩内容啦!感谢您的支持!🌟 目录 0x01 利用dll文件转储lsass进程 0x02 利用procdump工具转储lsas...
使 Mojo 漏洞利用变得更加困难
前言: 这篇文章介绍了一项针对 Microsoft Edge 浏览器的新安全保护措施,旨在使攻击者利用渲染器进程中的漏洞来逃离沙箱变得更加困难。这项保护措施针对的是 Mojo JavaScript 绑...
常见反弹shell检测方式
前言反弹shell,是外部人员通过web或者软件的漏洞,建立了一个数据流通向网络外部的shell执行环境。大部分的公司网络都会限制外部服务器连接公司内部的服务器,但是不会限制内部服务器主动外联,这就是...
网安简报【2024/3/10】
2024-03-10 微信公众号精选安全技术文章总览洞见网安 2024-03-100x1 验证码不寻常对抗系列1: 双重验证的破解之法一个不正经的黑客 2024-03-10 20:51:48若阁下问我...
不生成线程的远程TLS回调注入Poc
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。 关于 利用 TLS...
Linux测评延展 — audit 审计
知识宝库在此藏,一键关注获宝藏1. 启动audit内核模块有些系统audit的内核模块时默认关闭。可以查看/proc/cmdline,若存在audit=0,则默认不启动audit。通过设置/...