11 2019 档案

一个人的公众号,我写了1w+
摘要:大家好,我是Bypass,一个人一直保持着写博客的习惯,为此维护了一个技术公众号,致力于分享原创高质量干货,写的内容主要围绕:渗透测试、WAF绕过、代码审计、应急响应、企业安全。 一直以来,我把它当成我的技术博客在维护,每周一篇的频率在更新,每一篇都由我亲自撰写,力求原创,即使是分享一个很简单的小技 阅读全文
posted @ 2019-11-16 20:33 Bypass 阅读(644) 评论(0) 推荐(0) 编辑
记录一个终端入网小助手的bug
摘要:背景:技术leader拿到一台超薄笔记本,系统标准化安装,笔记本一开机风扇嗡嗡响,键盘也开始发烫,资源占用排名前三的进程都是终端管理软件,一下子就找上门了。处理:进程分析发现异常,卸载入网小助手后恢复。原因:Devcon64.exe 是准入客户端用来获取U盘相关信息的检测进程,但由于未知原因,小助手 阅读全文
posted @ 2019-11-15 14:30 Bypass 阅读(963) 评论(0) 推荐(0) 编辑
Window权限维持(十):Netsh Helper DLL
摘要:Netsh是Windows实用程序,管理员可以使用它来执行与系统的网络配置有关的任务,并在基于主机的Windows防火墙上进行修改。可以通过使用DLL文件来扩展Netsh功能。此功能使红队可以使用此工具来加载任意DLL,以实现代码执行并因此实现持久性。但是,此技术的实现需要本地管理员级别的特权。 可 阅读全文
posted @ 2019-11-11 14:11 Bypass 阅读(1217) 评论(0) 推荐(0) 编辑
Window权限维持(九):端口监视器
摘要:后台打印程序服务负责管理Windows操作系统中的打印作业。与服务的交互通过打印后台处理程序API执行,该API包含一个函数(AddMonitor),可用于安装本地端口监视器并连接配置、数据和监视器文件。此函数能够将DLL注入spoolsv.exe进程,并且通过创建注册表项,red team ope 阅读全文
posted @ 2019-11-11 14:03 Bypass 阅读(1099) 评论(0) 推荐(0) 编辑
Window权限维持(八):时间服务器
摘要:Windows操作系统正在利用时间提供者体系结构,以便从网络中的其他网络设备或客户端获取准确的时间戳。时间提供者以DLL文件的形式实现,该文件位于System32文件夹中。Windows启动期间将启动服务W32Time并加载w32time.dll。DLL加载是一种已知的技术,通常使红队攻击者有机会执 阅读全文
posted @ 2019-11-11 13:56 Bypass 阅读(949) 评论(0) 推荐(0) 编辑
Window权限维持(七):安全支持提供者
摘要:安全支持提供程序(SSP)是Windows API,用于扩展Windows身份验证机制。LSASS进程正在Windows启动期间加载安全支持提供程序DLL。这种行为使红队的攻击者可以删除一个任意的SSP DLL以便与LSASS进程进行交互并记录该进程中存储的所有密码,或者直接用恶意的SSP对该进程进 阅读全文
posted @ 2019-11-11 13:40 Bypass 阅读(1925) 评论(0) 推荐(0) 编辑
Window权限维持(六):BITS Jobs
摘要:Windows操作系统包含各种实用程序,系统管理员可以使用它们来执行各种任务。这些实用程序之一是后台智能传输服务(BITS),它可以促进文件到Web服务器(HTTP)和共享文件夹(SMB)的传输能力。Microsoft提供了一个名为“ bitsadmin ” 的二进制文件和PowerShell cm 阅读全文
posted @ 2019-11-11 11:04 Bypass 阅读(1874) 评论(0) 推荐(0) 编辑
Window权限维持(五):屏幕保护程序
摘要:屏幕保护是Windows功能的一部分,使用户可以在一段时间不活动后放置屏幕消息或图形动画。众所周知,Windows的此功能被威胁参与者滥用为持久性方法。这是因为屏幕保护程序是具有.scr文件扩展名的可执行文件,并通过scrnsave.scr实用程序执行。屏幕保护程序设置存储在注册表中,从令人反感的角 阅读全文
posted @ 2019-11-11 10:50 Bypass 阅读(2614) 评论(0) 推荐(0) 编辑
Window权限维持(四):快捷方式修改
摘要:Windows快捷方式包含对系统上安装的软件或文件位置(网络或本地)的引用。自从恶意软件出现之初,便已将快捷方式用作执行恶意代码以实现持久性的一种方法。快捷方式的文件扩展名是.LNK,它为红队提供了很多机会来执行各种格式的代码(exe,vbs,Powershell,scriptlet等)或窃取NTL 阅读全文
posted @ 2019-11-11 10:42 Bypass 阅读(1563) 评论(0) 推荐(1) 编辑
一个有意思的组合漏洞场景
摘要:漏洞往往就隐藏在一些细节里面,在渗透测试中,去分析请求中的每个参数,并注意检查页面返回的源代码。 比如,当参数拼接到SQL中执行,就存在SQL注入,当参数直接输出到前端,就存在XSS跨站脚本。 实现一个业务功能,也有着很多不同的实现方式,当业务逻辑考虑不严谨的时候,同一个业务功能模块之下,存在着很多 阅读全文
posted @ 2019-11-08 16:55 Bypass 阅读(794) 评论(0) 推荐(1) 编辑
Window权限维持(三):服务
摘要:如果未正确配置Windows环境中的服务或这些服务可以用作持久性方法,则这些服务可能导致权限提升。创建一个新的服务需要管理员级别的特权,它已经不是隐蔽的持久性技术。然而,在红队的行动中,针对那些在威胁检测方面还不成熟的公司,可以用来制造进一步的干扰,企业应建立SOC能力,以识别在其恶意软件中使用基本 阅读全文
posted @ 2019-11-07 21:58 Bypass 阅读(1757) 评论(0) 推荐(0) 编辑
Window权限维持(二):计划任务
摘要:Windows操作系统提供了一个实用程序(schtasks.exe),使系统管理员能够在特定的日期和时间执行程序或脚本。这种行为可作为一种持久性机制被red team利用。通过计划任务执行持久性不需要管理员权限,但如果已获得提升的权限,则允许进一步操作,例如在用户登录期间或在空闲状态期间执行任务。计 阅读全文
posted @ 2019-11-05 10:52 Bypass 阅读(3487) 评论(0) 推荐(0) 编辑
Window权限维持(一):注册表运行键
摘要:在红队行动中在网络中获得最初的立足点是一项耗时的任务。因此,持久性是红队成功运作的关键,这将使团队能够专注于目标,而不会失去与指挥和控制服务器的通信。在Windows登录期间创建将执行任意负载的注册表项是红队游戏手册中最古老的技巧之一。这种持久性技术需要创建注册表运行键各种威胁因素和已知工具,如Me 阅读全文
posted @ 2019-11-05 09:57 Bypass 阅读(1671) 评论(0) 推荐(1) 编辑
搭建rsyslog日志服务器
摘要:环境配置 centos7系统 client1:192.168.91.17 centos7系统 master:192.168.91.18 rsyslog客户端配置 1、rsyslog安装 yum install rsyslog 2、启用UDP进行传输 vim /etc/rsyslog.conf ​ # 阅读全文
posted @ 2019-11-04 20:54 Bypass 阅读(11578) 评论(2) 推荐(2) 编辑
RSyslog Windows Agent 安装配置
摘要:下载地址:https://www.rsyslog.com/windows-agent/windows-agent-download/ 安装过程: 1、双击rsyslogwa安装包,开始进行安装 2、一路Next安装即可。PS:在这里可能需要等几分钟。 操作使用: 1、打开RSyslog Window 阅读全文
posted @ 2019-11-01 11:55 Bypass 阅读(6300) 评论(0) 推荐(0) 编辑
一个人的公众号,我写了1w+
摘要:大家好,我是Bypass,一个人一直保持着写博客的习惯,为此维护了一个技术公众号,致力于分享原创高质量干货,写的内容主要围绕:渗透测试、WAF绕过、代码审计、应急响应、企业安全。 一直以来,我把它当成我的技术博客在维护,每周一篇的频率在更新,每一篇都由我亲自撰写,力求原创,即使是分享一个很简单的小技 阅读全文
posted @ 2019-11-01 11:34 Bypass 阅读(380) 评论(0) 推荐(0) 编辑

点击右上角即可分享
微信分享提示