Living Off The Land二进制文件、脚本和库

admin 2023年3月17日04:23:24评论22 views字数 594阅读1分58秒阅读模式

Living Off The Land二进制文件和脚本

所有的文件都可以在这里找到:https://lolbas-project.github.io

目标

LOLBAS 项目的目标是记录可用于 Living Off The Land 技术的每个二进制文件、脚本和库。

标准

LOLBin/Lib/Script必须:

  • 是微软签名的文件,可以是操作系统的原生文件,也可以是从微软下载的。

  • 具有额外的“意外”功能。记录预期的用例并不有趣。

    • 例外情况是应用程序白名单绕过

  • 具有对 APT 或红队有用的功能

有趣的功能包括:

  • 执行代码

    • 任意代码执行

    • 其他程序(未签名)或脚本(通过 LOLBin)的直通执行

  • 编译代码

  • 文件操作

    • 下载

    • 上传

    • 复制

  • 坚持

    • 利用现有 LOLBin 的直通持久性

    • 持久性(例如,在 ADS 中隐藏数据,在登录时执行)

  • UAC 旁路

  • 凭据盗窃

  • 转储进程内存

  • 监控(例如键盘记录器、网络跟踪)

  • 日志规避/修改

  • DLL 旁加载/劫持,无需重新定位到文件系统中的其他位置。


这些程序一般有有Microsoft或第三方认证机构的签名,可被用于下载安全恶意程序、执行恶意代码、绕过UAC、绕过程序控制等等。

比如我们常用的bitsadmin.exe、certutil.exe、psexec.exe等。

项目地址:

https://github.com/LOLBAS-Project/LOLBAS

原文始发于微信公众号(蓝猫Sec):Living Off The Land二进制文件、脚本和库

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月17日04:23:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Living Off The Land二进制文件、脚本和库https://cn-sec.com/archives/1608302.html

发表评论

匿名网友 填写信息