Crackmapexec 6.1.0 和一些杂项Author:Xiaoli-小离0x01 Intro• 在内网渗透中,一般收集到了凭据,都会去用CME挂个代理去爆破一遍,尝试扩大你的战果,但...
利用 WMI and COM 绕过windows defender
先知上曾经有人发过一篇利用windows defender排除项来免杀的文章,文章地址:https://xz.aliyun.com/t/10317而这个过程我们也可以使用代码来进行实现INT AddD...
作为应急响应工程师,你是否真的懂应急响应?
01前言分享一个Windows数字取证和应急响应的手册,里面介绍的技术和工具都是经过实战检验过的。部分内容如下,因为文档比较大,有需要的可以通过下面的网盘链接进行下载。目录如下:1. 事件响应流程.....
cobalt strike权限维持插件使用
权限维持插件https://github.com/yanghaoi/CobaltStrike_CNA参考文章https://www.wangan.com/p/11v6c7502802f2aa安装插件:...
安全实验室 | 内网渗透—横向移动方法总结(下)
上一篇我们介绍了内网渗透中横向移动的前两种攻击方法:利用IPC和Windows系统服务。通过以上两个方式,我们成功的进行了简单的内网横向移动。本期我们将继续介绍横向移动的其余方法,而且是更加贴近实战的...
又一个WMI横向移动渗透神器
前言上个月@小离师傅开源了他的新一代wmiexec.py,而且最近也一直有在更新和修复Bug;昨天又看到@九世师傅参考他的这个项目又写了一版,也挺不错的。大家可以持续关注下这两个项目。工具介绍这两个工...
【DFIR报告翻译】SEO投毒 一个Gootloader的故事
摘要今年2月份,我们发现了一起边界突破阶段使用了Gootloader(又名GootKit)工具的入侵事件。入侵持续了两天,包括内网探测、权限维持、横向移动、内网信息收集、防御规避、窃取凭证以及远程控制...
tql!又一个WMI横向移动渗透神器
声明:该公众号分享的安全工具和项目均来源于网络,仅供安全研究与学习之用,如用于其他用途,由使用者承担全部法律及连带责任,与工具作者和本公众号无关。 现在只对常读和星标的公众号才展示大图推送,建议大家把...
红队权限维持与杀软对抗(一)
“ 在红队攻防中拿到主机权限的时候,我们往往需要通过这台机器进行深一步的渗透,或者目标服务器可能因为系统更新,杀软更新等等原因往往导致会话莫名其妙下线了,所以权限持久化是红队一个必不可少的工...
Windows | WMI攻击利用痕迹猎捕
WMI (Windows Management Instrumentation) 是 Microsoft 对 WBEM 标准的实现。WMI 开箱即用,提...
【DFIR报告翻译】Quantum 勒索软件
摘要这是我们遇到过的入侵最快的勒索软件案例,攻击者从边界突破到部署域范围的勒索软件只用了大约4个小时。攻击者通过邮件钓鱼投递IcedID恶意软件成功突破了网络边界。以下是我们遇到过的其他勒索组织在边界...
WMI调试与检测
0x0 前言 这是WMI的第三篇文章,本文主要调式分析WMI消费者的工作原理,进而提出WMI的检测思路。本文首先介绍了本次分析所需要了解的WMI基本组件和底层协议(RPC),然后通过调式网上的RPC客...
8