360 不拦截 PowerShell 本身的执行, 拦截的是其它进程对 powershell.exe 的调用. 以 mshta 为例. 默认执行命令的 Payload. <HTML> &l...
下载文件的几种方式
Linux 下载文件的方式很多, 一般系统自带的 curl wget 就能搞定, 甚至还可以直接在线 apt yum 安装, 也有很多环境例如 Python Ruby Perl Windows 就那么...
MSFvenom 几种不常见的 Payload 格式
msfvenom 中一些不那么常见的 payload 格式. powershell (ps1)用来生成方便在 powershell 脚本中调用的 shellcode 变量. [Byte[]] $buf...
后渗透框架 PowerSploit
PowerSploit 是基于 PowerShell 的后渗透框架. 在功能上分为杀软绕过, 命令执行, 特权提升, 权限维持, 信息收集等模块及一些辅助性脚本. 限于篇幅, 仅针对常用脚本进行说明....
加载 PowerShell 脚本
通过 Module, IEX, Metasploit, Cobalt Strike 方式加载 PowerShell 脚本 Module通过导入模块的方式加载 PowerShell 脚本. Import...
Windows 绕过 UAC 策略
UAC 全称 User Access Control, 其作用为在程序进行管理员权限的操作时对用户进行通知, 经确认以后方可才能继续执行操作. 如果是普通用户, UAC 会让你提供管理员用户的账号密码...
绕过 PowerShell 的执行策略
PowerShell Execution Policy 是用来决定哪些类型的 PowerShell 代码可以在系统中运行. Restricted - 不允许任何脚本运行. AllSigned - 只能...
Powershell在渗透测试中的利用
简介 在渗透测试过程中,Powershell越来越成为必不可少的利用工具。 Windows的渗透过程中,以前我们在2003的服务器中渗透都是用vbs、exe等方式去执行,我们需要对这些工具进行编码和免...
黑客(红队)攻防中关于LNK病毒的制作
前言:在对抗中常常存在社会工程学攻击的需求,而LNK病毒的主要应用场景就存在于社会工程学攻击中。LNK快捷方式: LNK快捷方式是Windows中一种用于快速启动程序的命令行,通常是指向其...
揭秘Jupyter新变体在近期激增的攻击活动
写在前面的话近期,新型的Jupyter Infostealer变种版本一直都在不断发展和更新,该恶意软件的开发人员正在引入简单但功能强大的技术来提升Jupyter Infostealer变种版本的“杀...
【权限维持技术】利用PowerShell进行虚拟机探测
为什么要进行虚拟机探测 病毒分析师等人员通常会在虚拟机或沙盒中启动并分析木马病毒。许多防病毒和安全产品会在虚拟机中测试可疑文件以检测其行为。木马识别出它运行在虚拟环境中可能就会改变其行为...
MrKaplan!红队隐藏和清除痕迹工具
工具介绍 MrKaplan是一款旨在帮助红队成员尽可能隐藏和清除痕迹的工具。它的工作原理是保存运行时间、用户名、文件快等信息,并将计算机“恢复”到MrKaplan运行之前的样子。 注:使用前建议先看下...
45