SCShellSCShell 是一个无文件横向移动工具,依赖于 ChangeServiceConfigA 来运行命令。该工具的优点在于它不针对 SMB 执行身份验证。一切都通过 DCERPC 执行。该...
05月10日10 views评论change
payload
依赖ChangeServiceConfigA运行命令的无文件横向移动工具
05月10日10 views评论change
payload
05月10日10 views评论change
payload
ATT&CK - 辅助功能
辅助功能 Windows 包含可在用户登录前使用组合键启动的辅助功能(例如,当用户在 Windows 登录屏幕上时)。攻击者可以修改这些程序的启动方式,以获取命令提示符或后门而无需登录系统。 两个常用...
04月15日ATTACK0 views评论system32
二进制文件
ATT&CK - 绕过虚拟化/沙盒
绕过虚拟化/沙盒 攻击者可能会检查是否存在虚拟机环境(VME)或沙箱,以避免潜在地检测到工具和活动。如果对手检测到VME,他们可能会更改其恶意软件以隐藏植入物的核心功能或与受害者分离。他们还可能在丢弃...
04月15日ATTACK3 views评论ment
虚拟化
ATT&CK - 端口监视器
端口监视器 可以通过 API 调用设置端口监视器, 以设置要在启动时加载的 DLL。 此 DLL 可以位于 C:\Windows\System32,并且在启动时被打印机,spoolsv.exe 被加载...
04月15日ATTACK7 views评论hklm
system32
Win10 KB5034441升级失败的另类解决方案
对于无洁癖用户,KB5034441升级失败的解决方案就多了,大不了用C盘呗。不考虑各种排列组合,只考虑常见默认情形,"reagentc /info"表明已有「恢复分区」,但KB5034441升级失败,...
02月09日安全闲碎24 views评论recovery
win10
Smbexec绕过Windows Defender
每日一句经典: 人生就像一杯茶,不会苦一辈子,但总会苦一阵子。动动您的小手,点点关注您的关注就是我更新的动力噢。这里字数可能不太够噢,后面可能会凑字数不要介意啦。首先使用原生的Smbexec.py执行...
12月14日34 views评论cmdexe
defender
通过 DLL 劫持进行横向移动
1.找到要劫持的DLL启动一些 Windows VM 并使用 ProcMon 检查它以查找任何可能被劫持的 DLL。通常,任何给定的 Windows 主机上都有很多机会。要查找一些目标 DLL,请启动...
07月31日36 views评论有效负载
横向移动
在Windows中劫持DLL
文章前言DLL劫持是一种用于执行恶意有效负载的流行技术,这篇文章列出了将近300个可执行文件,它们容易受到Windows 10(1909)上相对路径DLL劫持的攻击,并展示了如何使用几行VBScrip...
04月04日186 views评论dll劫持
可执行文件