透明部落(又称PROJECTM和MYTHIC LEOPARD)是一个十分活跃的APT组织,其活动可以追溯到2013年。背景和主要发现Proofpoint在2016年发表了一篇有关透明部落的分析报告,在...
.NET自动化混淆工具
推一个混淆工具,只支持.NET测试对象:Watson以360为例混淆后:杀软一般就是静态分析和动态分析我们可以利用工具pestudio来辅助测试pestudio主要用来做静态分析和恶意软件评估下载地址...
CobaltStrike的argue参数污染绕AV
在获取了对方主机CobaltStrike Beacon后,需要执行一些敏感的操作(如创建用户等)。但是目标主机有AV,执行敏感命令会直接报毒等,这时我们可以使用Cobaltstrike自带的argue...
激活用户小工具
前言在渗透测试工作中,我们偶尔可能会遇到需要激活guest等用户的操作,所以编写了该工具,进行方便使用。基本命令如下:net user guest /active:yes编写工具这里我们用到netus...
CVE-2020-0605:.NET处理XPS文件时的命令执行
更多全球网络安全资讯尽在邑安全1. 前言微软近期修复了许多与XPS文件有关的反序列化漏洞,其中就包括CVE-2020-0605,XPS文件用于作为PDF文件的替代品,但其并未像后者那样普及,微软已在W...
红队新思路:利用Windows调试框架在.NET进程内直接调用.NET方法
0x00 概述目前,用于后漏洞利用阶段的.NET仍然存在。这些利用方式已经与大多数C2框架捆绑在一起,移植到通用工具中,添加了AMSI的绕过方式,并使用非常巧妙的方法来运行非托管代码。但是,加载.NE...
微软发布8月安全更新
微软于8月11日(北京时间8月12日)发布月度安全更新,本次更新共修复120个安全漏洞,涉及组件包括:Microsoft WindowsMicrosoft Edge(基于 EdgeHTML)Micro...
ueditor 1.4.3.3 .net版 任意文件上传漏洞分析与复现
更多全球网络安全资讯尽在邑安全复现:1、准备一个vps放需上传的文件,文件后缀名可正常命名;本地需准备一个可以上传的表单。祖传表单:<form action="http://127.0.0.1:...
实战渗透-从敏感文件泄露到Getshell
本文转自先知社区:https://xz.aliyun.com/t/8059 日常挖EDUSRC的思路,欢迎各位大佬指点或补充~ 目标站点如下 是一个大型仪器预约平台,先简单通过信息收集得到以下信息 中...
攻防实战:如何检测或优化内存中的.NET Tradecraft
概述对于红队的攻击操作来说,使用内存中的Tradecraft所起到的效果变得越来越大,这主要是由于EDR不断进行功能改进,已经使越来越多的蓝队获得了监测运行中内存的能力。此前,我们曾经讨论过将混淆处...
攻防实战:如何检测或优化内存中的.NET Tradecraft
概述对于红队的攻击操作来说,使用内存中的Tradecraft所起到的效果变得越来越大,这主要是由于EDR不断进行功能改进,已经使越来越多的蓝队获得了监测运行中内存的能力。此前,我们曾经讨论过将混淆处...
如何利用COMPlus_ETWEnabled隐藏.NET行为
0x00 前言 之前一段时间,我想澄清防御方如何检测内存中加载的Assembly(程序集),并在3月份发表了一篇文章(译文),介绍了禁用ETW的一些思路。随后有多个研究人员(包括Cneeliz、B...
43