发现可疑进程:外部扫描: 该木马通常会开启65531-65533 端口 nmap -p65531-65533 --open -oG d:\result1.txt 10.230.12.1/16 过滤出受...
05月17日116 views评论dll
安全博客
WannaMiner 挖矿木马手工检测笔记
05月17日116 views评论dll
安全博客
05月17日116 views评论dll
安全博客
劫持version.dll 添加用户
核心代码由AheadLib工具生成,很多软件存在version.dll 劫持问题。 1234567891011121314151617181920212223242526272829303132333...
05月17日安全博客197 views评论dll
安全博客
dll nc 反弹代码
最近方程式smb 溢出很火 很多同学喜欢用metasploit 生成dll反弹很容易被杀根据反弹代码改写了一个 dll反弹版无编译环境的可以二进制修改ip和端口字符串。 gcc编译: 运行效果: 使用...
05月17日45 views评论dll
安全博客
sqlmap udf解密脚本
一次渗透测试中上传 sqlmap 自带的 udf发现无法创建函数打开文件一看根本就不像传统的二进制文件像是一种编码查看相关说明 ,原来新版sqlmap 为了防止文件被误杀对文件进行异或加密. 所幸在s...
05月17日23 views评论sqlmap
安全博客
攻击技术研判 | 利用Windows日志的新“无文件”技术
情报背景近期,卡巴斯基的研究员发现了一种新的“无文件”攻击技术,恶意程序利用Windows事件日志实现Shellcode的存储,并劫持错误报告程序WerFault.exe执行先前嵌入的Shellcod...
05月16日139 views评论exe
shellcode
Nosferatu - Lsass NTLM 身份验证后门
项目地址:https://github.com/kindtime/nosferatu0x01 如何运作的?首先,DLL被注入到lsass进程中,并将开始挂钩身份验证WinAPI调用。目标函数是Msvp...
05月16日34 views评论com
https
案例研究:从 BazarLoader 到网络侦察
更多全球网络安全资讯尽在邑安全执行摘要BazarLoader 是基于 Windows 的恶意软件,通过涉及电子邮件的各种方法传播。这些感染提供了犯罪分子用来确定主机是否是 Active Directo...
05月16日18 views评论exe
windows
实站教你拿到shell后无法执行命令的解决方法
但是在某些渗透场景中,拿到shell却也因为无法执行命令而苦恼,因为无法执行命令意味做提权就没戏了。在本案例中就遇到拿到shell后无法执行命令,通过前期的一些基础研究发现,其实可以通过udf提权来绕...
05月16日379 views评论php
shell
新出现的APT组织专门针对赌博网站发起攻击
研究人员最近新发现了一个新的高APT组织,我们称之为EarthBerberoka(又名GamblingPuppet)。该APT组织专门针对Windows、macOS和Linux平台上的赌博网站。该恶意...
05月15日62 views评论dll
恶意软件
反射式DLL注入实现
本文为看雪论坛优秀文章看雪论坛作者ID:_DriverEntry一般而言要注入DLL到一个目标进程最简单的方法 就是先获取DLL文件路径,然后在目标进程分配内存空间将路径写入到目标进程,写入到目标进程...
05月13日115 views评论dll
函数
手把手教你如何制作钓鱼软件反制红队
1、自说自话目前我能想到的反制红队的办法是dll劫持,但是dll劫持是会有一定的限制的,有一种dll劫持是劫持系统dll,而且需要软件未指定绝对路径,还有一种dll劫持是将软件本来就存在的dll替换成...
05月13日230 views评论shellcode
红队
A blueprint for evading industry leading endpoint protection
本文原标题为:A blueprint for evading industry leading endpoint protection in 2022(译文),由于微信标题长度限制在此简记为 A bl...
05月13日24 views评论dll
shellcode
28