事情是这样的,上周为了一次公开课,演示ssh爆破,将我的vps改为弱口令,讲完后忘记更改回去了,然后我就收到这样一条短信。 然后我就想起之前改过密码忘记改回去的事了,让家雀子啄了眼蛋子,登上我的服务器...
06月07日130 views评论后门
进程
网络安全一次被淦经历
06月07日130 views评论后门
进程
06月07日130 views评论后门
进程
红队活动 SYSTEM 权限提升
在你的红队或渗透测试活动中,升级到 Windows 机器上的SYSTEM 始终是期望的目标。SYSTEM 用户是具有最高权限的特殊操作系统用户,许多后期利用技术都需要这种类型的访问权限。 当然,为了获...
06月06日33 views评论powershell
红队
Windows 利用父进程欺骗绕过EDR检测
介绍监控父进程和子进程之间的关系是威胁检测团队检测恶意活动的常用方法。例如,如果 PowerShell 是子进程,而 Microsoft Word 是父进程,则表明存在入侵。各种 EDR(端点检测和响...
06月03日152 views评论c
进程
一个键盘消息钩子的分析过程
在开始之前,推荐一位抖音摄影师 “在新疆的摄像师阿昊”。我经常刷到他,是一位在新疆给女孩拍照并指导女孩如何摆拍、被评价为“全网最销魂的身姿”的摄像师;看着像西...
06月01日16 views评论credential
进程
实战 记一次linux应急响应
文章作者:奇安信攻防社区(fan) 文章来源:https://forum.butian.net/share/3015 服务器中挖矿木马的事件时有发生,今天分享的是fan大佬写的Linux应急响应。 1...
05月30日23 views评论终端
进程
句柄降权绕过CallBacks检查
一 什么是句柄 当一个进程利用名称来创建或打开一个对象时,将获得一个句柄,该句柄指向所创建或打开的对象。以后,该进程无须使用名称来引用该对象,使用此句柄即可访问。这样做可以显著地提高引用对象的效率。...
05月18日23 views评论句柄
进程
进攻性横向移动
横向移动是从一个受感染的宿主移动到另一个宿主的过程。渗透测试人员和红队人员通常通过执行 powershell.exe 在远程主机上运行 base64 编码命令来完成此操作,这将返回一个信标。问题在于攻...
05月18日23 views评论cobalt
身份验证
银狐样本分析
病毒概述 msi在安装过程中执行恶意脚本,在C盘释放载荷ee.exe,ee.exe解密执行shellcode,shellcode通过多种手段执行反调试操作,添加Windows Defender的排除路...
05月15日23 views评论shellcode
进程
个人电脑中挖矿病毒程序 一把梭直接定位到人
阅读须知文章仅供参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!...
05月14日26 views评论powershell
进程
应急响应 - 基于Lnk钓鱼的样本分析
今日分享一下【赤鸢安全】公众号的一篇文章: 【免杀】记一次lnk钓鱼小技巧 文中的视频说到:很难找到我的shellcode! 哟呵?激起了我好奇,到底有多难找,毕竟咱们也是玩过一丢丢免杀的,也想看看其...
05月05日28 views评论木马
进程
Windows | AV/EDR对抗之BYOVD技术
BYOVD为Bring Your Own Vulnerable Driver缩写,该缩写为业内共识,解释为向目标环境植入一个带有漏洞的合法驱动程序,利用驱动漏洞获得内核权限,实现任意代码执行或终止任意...
05月01日253 views评论函数
驱动程序
windows-lsass转储篇
lsass.exe(Local Security Authority Subsystem Service进程空间中,存有着机器的域、本地用户名和密码等重要信息。如果获取本地高权限,用户便可以访问LSA...
04月24日56 views评论内存
进程
28