原文首发在:奇安信攻防社区https://forum.butian.net/share/3653在内网渗透中当我们得到一台高权限用户的身份时,就可以抓取到当前机器上的各类密码。虽然任务要求是导出域ha...
恶意软件开发、分析和 DFIR 系列 - 第 四 部分
恶意软件开发、分析和DFIR系列第四部分介绍在这篇文章中,我们将从 Windows 取证的基础知识开始,了解对于数字取证和事件响应 (DFIR) 调查很重要的 Windows 文件系统和工件。Wind...
windows10仿真及绕密
windows的仿真是一种常用的方式,也是对于windows取证的重要过程,废话不多说,直接上干货!参考文章:【镜像仿真篇】特殊的Windows11系统镜像仿真之旅(长篇):https://mp.we...
Atmel SAM Cortex-M7 MCU rom 分析,逆向工程,仿真和模糊化
在我的空闲时间,我喜欢探索和分析嵌入式设备,以了解它们的只读存储器是如何工作的。最近,我专注于一款时钟速度为 300MHz 的 Cortex-M7 MCU,具体是(之前的 Atmel)SAM MCU ...
应急响应--windows入侵检查思路及流程
什么时候做应急响应 服务器被入侵,业务出现蠕虫事件,用户以及公司员工被钓鱼攻击,业务被 DDoS 攻击,核心业务出现DNS、链路劫持攻击等等 如何做应急响应 确定攻击时间 查找攻击线索 梳理攻击流程 ...
go-secdump:一款Windows注册表安全测试工具
go-secdump是一款功能强大的Windows注册表安全检测工具,该工具基于Go语言开发,能够利用远程转储目标设备Windows注册表中的机密来检测其安全防护态势。 运行机制该工具基于go-smb...
内网神器 - 远程转储 Windows 注册表
Go-secdump 是一个工具,用于远程从 SAM 注册表配置单元提取哈希值以及从 SECURITY 配置单元提取 LSA 机密和缓存哈希值,无需任何远程代理,也无需接触磁盘。 下...
实战:略微扎手的渗透测试
这是 酒仙桥六号部队 的第 133篇文章。全文共计3123个字,预计阅读时长9分钟。前言平时上下班,趁着周末休息日个站来放松一下,(才不是被逼的)呜呜呜~,打开fofa想找找遍历,弱口令什么的,刷刷排...
Mimikatz_sam文件解密原理
写在前面 一篇黑&白师傅的mimikatz_sam文件解密原理的深度学习文章。简介在进行账户克隆的时候我们通常会对用户的注册表中的F值进行修改,将其改为administrator用户的F值,在...
ATT&CK - 凭据转储
凭据转储 凭据转储是从操作系统和软件获取帐户登录和密码信息的过程,这些信息通常以散列或明文密码的存储。然后利用凭据进行横向移动从而访问受限信息。 攻击者和专业安全测试人员都可以使用此技术中提到的几种工...
impacket gui版本 告别命令行
psexec利用hash进行横向移动psexec、smbexec、dcomexec、wmiexec、atexec 的单次命令执行sam-the-admin域控利用模块地址:https://github...
冷系统分析与重置或恢复Windows SYSKEY密码
主要内容:1.什么是冷系统分析(Cold System Analysis)? “冷系统分析”指的是从便携式USB驱动器启动计算机,并试图进入系统和/或从计算机中提取证据。 通过从已知良好的便携式介...
8