Windows系统计划任务是在攻防场景下,权限维持的一种常用的方式。通常在获取目标权限后,为了避免权限丢失,而设置持久化项。系统计划任务便是其中的一种,使得后门程序再次启动。本篇文章主要介绍了通过系统...
T1036-伪装(二)
Atomic Red Team™是一个映射到MITRE ATT&CK®框架的测试库。安全团队可以使用Atomic Red Team快速、可移植和可重复地测试他们的环境。本文章为Atomic R...
通过覆盖Powershell cmdlet方式进行权限维持
微信公众号:绝对防御局关注可了解更多关于 红蓝对抗、安全防御等安全tips ;有任何的问题或建议,欢迎公众号留言;Colibri Loader 是一款恶意软件服务,其中包含了一些有趣的权限维持技术值得...
一种对抗企业级EDR深度行为分析的双模式混淆技术
part1点击上方蓝字关注我们将二进制空间安全设为"星标⭐️"第一时间收到文章更新所谓双模式混淆技术,指的是利用脚本+PE格式进行混合混淆技术,该技术可以导致沙箱执行程序失败, 而且也能够加大分析难度...
内网渗透的一些思路分享
“A9 Team 甲方攻防团队,成员来自安信、微步、青藤、长亭、安全狗等公司。成员能力涉及安全运营、威胁情报、攻防对抗、渗透测试、数据安全、安全产品开发等领域,持续分享安全运营和攻防的思考和实践。”0...
实战分享 | 记一次对挖矿木马的样本分析
前一段时间做了个应急响应,病毒样本是用Python写的,正好来分析学习下。0x01 云沙箱检测首先丢进微步查看可以看到病毒释放m2.sp1文件,并且执行cmd和powershell程序。0x02 样本...
runassystem bat实现
该工具仅用作拥有administrator帐户以及非交互环境交互环境下有多种方式获取system权限 如nircmd.exe psexec wimi sc … 12345678910111213141...
【Web渗透】内网渗透手法
实验环境实验靶机外网:CS服务器:1.117.43.77内网:WIN7:192.168.91.128SERVER2008:192.168.91.178...
lockxx勒索软件对受害者使用了中英文提示
lockxx是最近出现的一个新的勒索软件,它使用了中英文提示来针对受害者进行勒索,笔者在对勒索软件进行了初步分析,发现似乎对checkpoint情有独钟,排除目录不仅排除了checkpoint目录,而...
【Tips+1】Windows持久化之计划任务
Tips +1计划任务Windows计划任务是一种操作系统级别的功能,允许你安排在指定的日期和时间执行特定任务或程序。这些任务可以是一次性的,也可以是定期重复的。你可以使用计划任务来自动化系统维护、备...
【Web渗透】内网横向
1.介绍(1)计划任务简介windows 有一个任务计划程序,可以打开这个程序,创建定时的任务。windows 提供了两个命令行可以创建计划任务,分别是 at 和 schtasks。在已知目标系统的用...
windows权限维持几种方式
一、计划任务 Windows 计划任务是操作系统中的一项功能,允许用户安排在指定时间或事件发生时执行特定任务或脚本。通过使用计划任务,用户可以自动化重复性任务、定期运行维护脚本或执行其他计划的操作...