Living Off The Land二进制文件和脚本

所有的文件都可以在这里找到：https://lolbas-project.github.io

目标

LOLBAS 项目的目标是记录可用于 Living Off The Land 技术的每个二进制文件、脚本和库。

标准

LOLBin/Lib/Script必须：

• 是微软签名的文件，可以是操作系统的原生文件，也可以是从微软下载的。

• 具有额外的“意外”功能。记录预期的用例并不有趣。

• 例外情况是应用程序白名单绕过

• 具有对 APT 或红队有用的功能

有趣的功能包括：

• 执行代码

• 任意代码执行

• 其他程序（未签名）或脚本（通过 LOLBin）的直通执行

• 编译代码

• 文件操作

• 下载

• 上传

• 复制

• 坚持

• 利用现有 LOLBin 的直通持久性

• 持久性（例如，在 ADS 中隐藏数据，在登录时执行）

• UAC 旁路

• 凭据盗窃

• 转储进程内存

• 监控（例如键盘记录器、网络跟踪）

• 日志规避/修改

• DLL 旁加载/劫持，无需重新定位到文件系统中的其他位置。

这些程序一般有有Microsoft或第三方认证机构的签名，可被用于下载安全恶意程序、执行恶意代码、绕过UAC、绕过程序控制等等。

比如我们常用的bitsadmin.exe、certutil.exe、psexec.exe等。

项目地址：

https://github.com/LOLBAS-Project/LOLBAS

原文始发于微信公众号（蓝猫Sec）：Living Off The Land二进制文件、脚本和库