WEB和服务器安全漏洞
黑客技术领域,包括内外部网络渗透、反向破解、网络木马病毒分析等。
1,239个主题在此版块
-
- 0 篇回复
- 100 次查看
0x00前言 对于Windows系统来说,用户的加密数据大多是通过DPAPI来存储的,如果要解密这些数据方案,就必须获取DPAPI对应的MasterKey。本文将介绍获得Windows系统权限后获取MasterKey的方法,并分析延长MasterKey有效期的首选文件格式。 0x01 简介 本文将介绍以下内容 基本概念 获得主密钥的方法 解析首选文件 修改主密钥过期时间 0x02 基本概念 DPAPI: 数据保护应用程序编程接口的全名 它被广泛用作Windows系统的数据保护接口。 主要用于保护加密数据,常见应用如: EFS文件加密 存储无线连接密码 Windows凭据管理器 微软公司出品的web浏览器 观点 网络电话 Windows CardSpace Windows保管库 谷歌浏览器 Master Key: 64字节,用于解密DPAPI blob,用用户登录密码、SID和16字节随机数加密,存储在主密钥文件中。 Master Key file: 二进制文件,可由用户登录密码解密以获得主密钥。 有两种类型: 位于% appdata % \ Microsoft \ protect \ % sid %的用户主密钥文件 主密钥文件,位于% windir % \ system32 \ Microsoft \ protect \ s-1-5-18 \ user中 Prefer…
剑道尘心的最后回复, -
- 0 篇回复
- 112 次查看
0x00 前言 在上一篇文章《渗透基础——Exchange一句话后门的实现》 介绍了两种交换一句话后门(内存加载。网程序集和文件写入),本文将要对交换一句话后门的功能进行扩展,以导出lsass进程的口令混杂为例,介绍内存加载体育课文件的实现方法,开源测试代码,分析利用思路,给出防御建议。 0x01 简介 本文将要介绍以下内容: 交换一句话后门的编写 通过内存加载。网程序集实现导出lsass.exe进程的dmp文件 通过内存加载体育课文件实现内存加载米米卡茨并解析指定位置的dmp文件 开源代码 防御建议 0x02 Exchange一句话后门的编写 (1)基本的实现代码 示例代码如下: %@ Page Language='C#' %%System .反射。汇编。加载(转换FromBase64String(请求。表格['demodata']).CreateInstance("有效负载")。等于("");% 代码会判断是否带有邮政请求的参数蠕形螨,如果存在会将邮政请求中参数蠕形螨的内容作base64解密,在内存加载并调用名为有效载荷的实例 (2)冰蝎的实现代码 默认启动代码如下: % @ Page Language=' c# ' % % @ Import Namespace=' System .反射"% %会话"。Add('k ',' e45e 329 feb 5d 925 b ');字节[] k=编码默认。GetBytes(会话[0]' '),c=请求Binary…
KaiWn的最后回复, -
- 0 篇回复
- 110 次查看
0x00 前言 之前的文章《渗透技巧——导出Chrome浏览器中保存的密码》介绍了导出Chrome浏览器密码的原理和使用方法。本文将介绍导出Firefox浏览器密码的原理和使用方法,并分析使用思路。 0x01 简介 本文将介绍以下内容: 密码存储模式 原理介绍 常用的导出工具 利用理念 0x02 密码保存方式 用户在正常访问网站时,可以选择使用火狐浏览器保存登录密码,供火狐下次登录时自动填写登录密码。 可以通过选择登录名和密码来查看,如下图所示。 包括以下信息: 网站地址 用户名 密码 创造 上次修改时间 上次使用 所有记录都保存在同一个文件中,具体位置是:% appdata % \ Mozilla \ Firefox \ profiles \
CHQ1d的最后回复, -
- 0 篇回复
- 121 次查看
0x00 前言 在渗透测试中,尤其是内网渗透,通常需要在内网打开一个匿名访问的文件共享来配合漏洞利用。 所以我们需要一个通用的方法,不仅简单易用,而且可以在命令行下运行。 0x01 简介 本文将介绍以下内容: 使用场景 通过界面以匿名访问方式打开文件共享服务器。 通过命令行以匿名访问方式打开文件共享服务器。 开放源代码 0x02 利用场景 打开支持匿名访问的文件共享后,其他用户可以直接访问文件服务器的共享文件,无需输入用户名和密码。 通常有以下两种用法: 作为数据传输的通道。 配合开发,作为有效载荷的下载地址。 文件共享服务器需要建立在不同的操作系统上。 对于Linux系统,可以使用Samba服务来构建匿名文件共享服务器。 以下是Kali系统下的使用方法: 修改文件/etc/samba/smb.conf,如下所示: [全球] 映射到guest=test1 服务器角色=独立服务器 用户共享允许来宾=是 idmap配置*:后端=tdb smb端口=445 [中小企业] 评论=桑巴 path=/tmp/ 游客ok=是 只读=否 可浏览=是 开放服务: 服务smbd启动 服务nmbd启动 对于Windows系统,需要考虑域环境和工作组环境。要支持匿名访问,您需要打开访客用户,并允许访客用户访问文件共享服务器的内容。 0x03 通过界面开启可匿名访…
Anonymous的最后回复, -
- 0 篇回复
- 86 次查看
0x00 前言 在Linux系统下,用户的密码将被加密并存储在文件/etc/shadow中。密码的加密方法和破解方法有哪些?本文试着对这部分进行梳理,介绍基础知识,测试常用方法,帮助你对此有更直观的认识。 0x01 简介 本文将介绍以下内容: Linux下用户密码的保存格式 Linux下用户密码的加密方法 破解用户密码哈希的常用工具和方法 0x02 Linux下用户密码的保存格式 Linux密码信息保存在两个文件中:/etc/passwd和/etc/shadow。 /etc/passwd: 普通用户权限可以查看 保存用户信息,每行代表一个用户,每行用冒号分成七个部分: 用户名 密码,x表示密码保存在/etc/shadow中。 UID,0代表根 GID,表示组。 描述,其次是全名,房间号,工作电话,家庭电话和其他。 用户目录 默认外壳类型 eg. test2:x:1001:1001:test2,11111,111111-11,222222-22,test:/home/test2:/bin/bash 用户名:test2 密码保存在/etc/shadow中。 UID是1001 GID是1001 描述信息: 全名[]:测试2 房间号[]: 11111 工作电话[]: 111111-11 住宅电话[]: 222222-22 其他[]:测试 用户目录是/home/test2。…
XenoG的最后回复, -
- 0 篇回复
- 107 次查看
0x00 前言 Pupy在Windows平台下的后期穿透模块包含了一个实用的功能:屏幕控制。该功能不仅可以查看屏幕内容,还可以发送鼠标和键盘消息。本文将对该功能的实现方法进行分析,寻找另一种方式实现类似的功能,便于二次开发。 0x01 简介 本文将介绍以下内容: 皮氏屏幕控制模块测试 Pupy的实现方法 另一种实现方法 0x02 Pupy的屏幕控制模块测试 Pupy的基本用法可以参考前面的文章《Pupy利用分析——Windows平台下的功能》。 获取会话后,进入rdesktop加载屏幕控制模块,如下图所示 浏览器可以通过访问url来查看和操作屏幕,如下图所示 这里支持输入键盘消息和鼠标点击。 用普通用户权限操作时注意UAC的问题(UAC的弹匣不能操作)。 当consent.exe驱逐UAC时,将会创建一个进程。 您需要系统权限来关闭此进程。关闭后会弹出一个对话框提示存储控制块地址无效。 如下图 注: Cmd命令关闭UAC项目符号框提示: REG add HKLM \软件\微软\ Windows \当前版本\策略\系统/v consentpromptbhavioradmin/t REG _ DWORD/d 0/f Cmd命令打开UAC弹出提示: REG add HKLM \软件\微软\ Windows \当前版本\策略\系统/v consentpromptbhavioradmin/t REG _ DWORD…
风尘剑心的最后回复, -
- 0 篇回复
- 104 次查看
0x00 前言 剪贴板是Windows系统中的一个常用功能。里面可以用什么?本文将尝试对这一部分进行梳理。 0x01 简介 本文将介绍以下内容: 书写剪贴板的方法 一种读取剪贴板的方法 利用理念 0x02 剪贴板简介 剪贴板是指windows操作系统提供的用于临时存储和共享数据的模块,可以理解为数据中转站。 剪贴板的内容保存在内存中,所以系统重启后保存的数据会丢失。 XP系统支持剪贴板查看器clipbrd.exe(win 7后移除),可以查看剪贴板内容。 剪贴板查看器clipbrd.exe不需要安装,但可以直接在其他系统中使用(如Win7)。 复制数据后,复制的内容将实时显示在剪贴板查看器clipbrd.exe中,如下图所示 0x03 写入剪贴板的方法 1、Ctrl+C 复制数据,或使用快捷键Ctrl C将数据保存到剪贴板。 2、cmd下的方法 将whoami输出的内容复制到剪贴板: whoami |剪辑 如下图 将11.txt的内容复制到剪贴板: 剪辑11.txt 如下图 3、程序调用API实现 c测试代码如下: #包括 BOOL CopyToClipboard(char * PSZ data) { if(:OpenClipboard(NULL)) { * EmptyClipboard(); HGLOBAL剪辑缓冲区; char *缓冲区; c…
轩辕三官的最后回复, -
- 0 篇回复
- 111 次查看
0x00 前言 维基解密公布的CIA Vault 7涉及Windows系统中Junction文件夹和库文件的使用。 地址如下: https://wikileaks.org/ciav7p1/cms/page_13763381.html https://wikileaks.org/ciav7p1/cms/page_13763373.html 郑对此进行了分析,分享了一种库文件的后门利用方法,并详细介绍了如何检测结文件夹和库文件的恶意利用。 地址如下: https://www . counter cept . com/blog/hunting-for-junction-folder-persistence/ https://www . counter cept . com/blog/abiling-windows-library-files-for-persistence/ 本文将在以上参考资料的基础上,对比Junction文件夹和库文件,进一步利用库文件的后门利用方式(隐蔽性更强),开源一个POC,分享自己对检测的理解。 0x01 简介 本文将介绍以下内容: 连接文件夹的利用方法 图书馆档案的利用方法 文件后门的进一步利用 检测和识别 0x02 Junction Folders的利用方法 Junction Folders可以简单理解为一个可以跳转到另一个位置的文件夹。 三种常见的创建方法: 修改注册表项 修改文件夹中的desk…
RenX6的最后回复, -
- 0 篇回复
- 109 次查看
0x00 前言 前面两篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》和《Authenticode签名伪造——针对文件类型的签名伪造》介绍了Authenticode签名伪造的方法。这次介绍一种目录签名伪造的方法,利用长UNC文件名欺骗系统,获取系统内置的目录签名。 注: 本文介绍的技巧参考了Matt Graeber@mattifestation发布的资料。本文将结合自身经历,梳理相关内容,补充个人理解。 参考资料: http://www . exploit-Monday . com/2013/02/windows file confusion . html?m=1 0x01 简介 本文将介绍以下内容: 长UNC基础 长UNC文件名欺骗方法 龙分析利弊龙UNC文件名欺骗 0x02 Long UNC介绍 UNC(Universal Naming Convention) 通用命名规则,可用于指示文件在Windows系统中的位置。 详情请参考以下链接: https://en . Wikipedia . org/wiki/Path _(计算) Long UNC UNC通常支持的最大长度是260个字符 为了支持更长的字符,引入了长UNC,最大长度为32767。 例如:\ \?\C:\test\a.exe 键入putty.exe ' \ \?\C:\test\longUNC.exe ' 如下图,使用长UNC的文件…
HACK7YD的最后回复, -
- 0 篇回复
- 104 次查看
0x00 前言 接着介绍DEP绕过的另一种方法——利用虚拟分配绕过离开通过虚拟分配函数可以申请一段具有可执行属性的内存,相比于虚拟保护,传入虚拟分配的四个参数不需要先读取再赋值,可在外壳代码中直接指定,结构更简单。当然,利用抗干扰调试器的白腹长尾猴插件可自动构造利用虚拟分配绕过DEP的光栅化处理单元链。 0x01 简介 本文将要介绍以下内容: 调用虚拟分配函数时的病菌及修复 选择合适的替代指令,修改白腹长尾猴自动生成的钻进速度(渗透率的缩写)链,实现利用 利用虚拟分配绕过DEP时需要考虑的细节,如对外壳代码的长度要求 0x02 相关概念 VirtualAlloc: LPVOID WINAPI VirtualAlloc( LPVOID lpAddress, SIZE_T dwSize, DWORD flAllocationType, DWORD flProtect ) 慢转的地址:申请内存区域的地址 dwSize:申请内存区域的大小 flAllocationType:申请内存的类型 flProtect:申请内存的访问控制类型 申请成功时函数返回申请内存的起始地址,申请失败时返回空 0x03 实际测试 测试环境: 测试系统:Win 7 编译器:VS2012 建设版本:发布 项目属性: 关闭(美国联邦政府职员)总表(总进度表) 关闭优化 关闭圣伊丽莎白医院 打开DEP …
cnhackteam7的最后回复, -
- 0 篇回复
- 92 次查看
0x00 前言 在域环境中,域用户的凭证是非常重要的信息。为了增强安全性,域组策略将设置所有域用户密码的最大有效时间,并强制用户在过期时间后更改密码。 在实际环境中,有些域用户需要设置自己的密码永不过期,可以通过添加密码永不过期属性来实现。 在域渗透中,我们需要枚举密码永不过期的域用户,我们还需要能够设置密码永不过期的域用户。 从防御的角度来看,我们需要尽量减少密码永不过期的域用户的数量,我们还需要能够实时掌握域用户的列表。 因此,本文将介绍不同条件下枚举、添加和删除密码永不过期属性的多种方法、分析原理和开源代码。 0x01 简介 本文将介绍以下内容: 实现原则 枚举密码设置为永不过期的用户。 指定向用户添加“密码永不过期”属性的方法。 为用户指定删除“密码永不过期”属性的方法。 0x02 实现原理 域用户的密码永不过期属性保存在域用户的userAccountControl属性中。 userAccountControl属性由一个数字表示,它是几个特定属性的值的总和。 每个特定属性对应一个不同的值。请参考:https://support . Microsoft . com/en-us/help/305144/how-to-use-user account control-to-manipulate-user-account-properties。 下面是一个例子: 用户test1的userAccountControl属性的值为514,因此该用…
Tenfk的最后回复, -
- 0 篇回复
- 95 次查看
0x00 前言 之前的文章《域渗透——Pass The Hash Pass The Key》介绍了kb2871997对Pass Hash的影响。本文将从另一个角度介绍传递Hash的相关实现。 0x01 简介 本文将介绍以下内容: 传递散列的原理 常用工具 在mimikatz中传递散列 在米米卡茨通过票 0x02 Pass The Hash的原理 你可以参考维基百科的介绍,地址如下: https://en.wikipedia.org/wiki/Pass_the_hash 提取关键信息: 在Windows系统上,通常使用NTLM身份验证。 NTLM认证不使用明文密码,而是使用密码加密的哈希值,哈希值由系统API(例如LsaLogonUser)生成 哈希分为LM哈希和NT哈希。如果密码长度大于15,则无法生成LM哈希。对于Windows Vista和Windows Server 2008,默认情况下,Microsoft禁用了LM哈希。 如果攻击者得到了哈希,他就可以在身份验证时模拟用户(即跳过调用API生成哈希的过程)。 注: Mimikatz支持导出内存中用户的LM哈希,但前提是Windows系统支持LM哈希。 Windows Server 2008启用LM哈希的方法; Gpedit.msc-计算机配置-Windows设置-安全设置-本地策略-安全选项 查找网络安全:下次不要更改密码存储局域网管理器的哈希值,选择禁用。 …
尖REN的最后回复, -
0x00 前言 在最近的BlackHat Europe 2017上,塔尔利伯曼和尤金科岗推出了一种新的代码注入技术,——过程兴奋剂。 据说这种方法支持所有Windows系统,可以绕过大部分安全产品的检测。 因此,本文将根据开源代码编写程序,实现进程复制,测试功能,分析利用思路。 参考地址: https://www . black hat . com/docs/eu-17/materials/eu-17-liber man-Lost-In-Transaction-Process-doppelganing . pdf 0x01 简介 本文将介绍以下内容: 原则 开放源代码 修复方法 实物试验 利用理念 防御探测 0x02 Process Doppelgnging原理 原理上类似于工艺镂空,但更高级: 不需要傀儡过程。 不需要特殊的内存操作,如SuspendProcess和NtUnmapViewOfSection。 注: 工艺镂空的介绍请参考之前的文章《傀儡进程的实现与检测》。 实现思路: 1.打开一个正常文件,创建transaction 对于NTFS交易,请参考: http://www.ntfs.com/transaction.htm 2.在这个transaction内填入payload,payload作为进程被启动 目前为止,杀毒软件无法扫描填充的有效载荷。 3.回滚transaction …
Xiao7的最后回复, -
- 0 篇回复
- 93 次查看
0x00 前言 在上篇文章《渗透基础——端口转发与代理》 提到了使用去语言分别实现正向和反向袜子代理的方法,不仅开发效率高,而且能够很方便的实现跨平台编译。 本文将要进一步介绍Windows操作系统操作系统系统和迦利系统下使用去语言开发的完整过程,并基于开源代码,实现一个袜子正向和反向代理的工具,记录细节。 0x01 简介 本文将要介绍以下内容: Windows操作系统操作系统系统下去语言开发环境的搭建 迦利系统下去语言开发环境的搭建 工具代码细节 开源完整实现代码 0x02 Windows系统下Go语言开发环境的搭建 测试系统:Win7x64 1、安装Go 下载安装: https://golang.org/dl 或者 https://studygolang.com/dl 2、安装git https://gitforwindows.org/ 用来下载第三方开发包 0x03 代码实现与Windows系统下的跨平台编译 1、安装第三方包 需要以下三个: golang.org/x/net/context https://github.com/armon/go-socks5 https://github.com/hashicorp/yamux 安装流程如下: (1)安装golang.org/x/net/context 足球比赛5依赖,否则安装时会提示: go \ src \ github。com \ …
剑道尘心的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 最近,詹姆斯福肖开发了一个工具DotNetToJScript,它可以加载。Net程序的JS/Vbs脚本。这很有趣。 Casey Smith和Cn33liz都对此做了进一步的研究,并开放了他们的使用代码。 本文将对该技术进行系统梳理,帮助您有更好的了解。 0x01 简介 本文将介绍以下内容: DotNetToJScript的编译方法 DotNetToJScript的用法 用JS/Vbs执行外壳代码 使用JS/Vbs执行powershell脚本 0x02 DotNetToJScript编译方法 DotNetToJScript下载地址: https://github.com/tyranid/DotNetToJScript 使用工具VS2012编译。 报错1: 程序集引用NDesk。缺少选项。 解决方法: 您需要添加对NDesk的引用。选择 下载地址: http://www.ndesk.org/Options 解压,项目-添加引用-浏览-\ n磁盘-选项-0 . 2 . 1 . bin \ n磁盘-选项-0 . 2 . 1 . bin \ lib \ n磁盘-选项\ ndesk.options.dll。 接下来,将目标框架指定为。NET Frameword 2.0并重新编译。 报错2: 缺少程序集引用Linq 解决方法: 添加对System.Core.dll 3.5的引用 位置: c:…
KaiWn的最后回复, -
- 0 篇回复
- 95 次查看
0x00 前言 在渗透测试中,经常需要更改程序启动的权限(包括提升和降低权限)。 权限提升包括从普通用户权限到管理员权限和从管理员权限到系统权限。在渗透测试中,权限缩减通常是指从系统权限缩减为普通用户权限(从管理员权限缩减为普通用户权限的方式有很多种),常用于操作当前用户的文件内容(如抓取桌面、操作注册表等)。). 本文将介绍减少权限(从系统权限到普通用户权限)的具体方法,明确重点,开启一个判断进程权限的小工具。 0x01 简介 本文将介绍以下内容: 为什么要降低功率? 将管理员权限降为普通用户权限的方法 将系统权限降为普通用户权限的方法 使用SelectMyParent实现权限的提升和降低 注: 测试系统:Win7 0x02 为什么要降权 使用系统权限的进程可能会遇到以下问题: 1、无法获得当前用户的文件内容 例如,无法捕获用户的屏幕。 2、环境变量有差异 例如以下环境变量: APPDATA 临时雇员 终端监督程式(Terminal Monitor Program的缩写) 用户域 用户名 用户配置文件 Cmd可以通过echo查看环境变量,比如查看环境变量APPDATA的命令是: 回显%appdata% 在系统权限下,查询到的环境变量APPDATA是c:\ windows \ system32 \ config \ system profile \ APPDATA \ roaming。 …
CHQ1d的最后回复, -
- 0 篇回复
- 152 次查看
About: 监控WMI持久性 关于出口货物c的说明 我在Windows 10上使用磁盘清理的测试使用磁盘清理 目录: 介绍如何在系统日志中记录WMI坚持不懈,测试并分析如何绕过 动态链接库劫持中会用到的一个辅助工具,自动读取动态链接库的导出函数并生成对应的c代码 实际测试《using DiskCleanup on Windows 10 using DiskCleanup》 ,记录过程,虽然测试失败,但其中包含的绕过思路值得学习 0x01 Monitor WMI Persistence Reference: https://www。火眼。com/blog/threat-research/2016/08/wmi _ vs _ wmi _ monitor。超文本标记语言 简介 攻击者通常会利用WMI来实现远程执行(如wmiexec)和后门(如WMI坚持),然而Windows操作系统操作系统系统默认不会在日志中记录这些操作。于是蒂莫西帕里西和埃文佩纳提出了他们的解决方法: 利用WMI持久性的方法记录攻击者调用WMI的操作,并将以下结果写入系统日志中,监控系统实时读取系统日志,及时提醒用户受到攻击 事件消费者名称 事件消费者命令 过程调用方法 过程调用命令 实际测试 作者开源了一个powershell脚本,下载地址如下: https://github。WMI _监视器/blob/master/wmi监视器。PS1 注: powe…
XenoG的最后回复, -
- 0 篇回复
- 98 次查看
0x00 前言 还是后门利用方式的介绍,这次是使用登录脚本的方式。但是,我在研究的过程中发现了一个特殊的用法。脚本在杀毒软件之前执行,可以绕过杀毒软件对敏感操作的拦截。本文将详细介绍这一技巧。 注: 一些防病毒软件可以在登录脚本之前启动。 0x01 简介 登录脚本用法 绕过360拦截wmi调用 特殊用法 0x02 Logon Scripts用法 这个想法来自Adam@Hexacorn,地址如下: http://www . hexa corn . com/blog/2014/11/14/beyond-good-ol-run-key-part-18/ 简要介绍Logon Scripts的用法 注册表路径:HKCU \环境\ 创建字符串键值:UserInitMprLogonScript 键值设置为bat的绝对路径:c:\test\11.bat 如下图 Bat内容如下: 开始calc.exe 注销,登录 执行脚本11.bat来弹出计算器。 0x03 绕过360对通过wmi修改环境变量的拦截 之前的文章《Use CLR to maintain persistence》提到了使用wmic修改环境变量的方法。 该命令如下所示: wmic环境创建名称='COR_ENABLE_PROFILING ',用户名='%username% ',变量值='1 ' wmic环境创建名称='COR_PROFILER ',用户名='…
风尘剑心的最后回复, -
0x00 前言 夏普根是我认为特别棒的一个工具,它能够用来对其他。网程序集进行整合、重组并加密,二次编译后可生成一个全新的工具 本文将要研究夏普根的细节,介绍调用其他开源库的详细方法,分析利用思路 参考链接: https://github.com/cobbr/SharpGen https://cobbr.io/SharpGen.html 0x01 简介 本文将要介绍以下内容:网络核心开发环境搭建 功能介绍 调用其他开源库的方法 利用思路 0x02 .NET Core开发环境搭建 夏普根使用。网芯,优点是支持多平台(Linux,MacOS和Windows) 编程语言使用C#,利用罗斯林编译100 .净框架控制台应用程序或库 注: 罗斯林是一个。网编译器平台,通过脚本API,能够对脚本文件进行动态编译 测试系统:Win7x64 我在测试系统选择安装。网络核心2.2.0、ASP。网核心2 .2 .0和SDK 2.2.101,这是为了兼容另一个工具契约 对应版本的下载链接如下: https://点网。微软。com/download/thank-you/dot net-SDK-2。2 .101-windows-x64-安装程序 https://点网。微软。com/download/thank-you/dot net-runtime-2。2 .0-windows-x64-安装程序 https://点网。微软。com/downlo…
轩辕三官的最后回复, -
- 0 篇回复
- 109 次查看
0x00 前言 要远程注入指定的进程,通常使用Windows提供的API CreateRemoteThread创建一个远程线程,然后注入dll或者执行shellcode。 Sysmon可以用来监视和记录系统活动,并且可以记录CreateRemoteThread操作。 注入方法不仅是CreateRemoteThread,还有其他注入方法可以绕过Sysmon的监控? Casey Smith@subTee在他的文章中给出了答案: 通过QueueUserAPC注入外壳代码-对Sysmon隐藏 地址如下: http://subtox 10 . blogspot . com/2017/01/shellcode-injection-via-queueuser APC . html 0x01 简介 本文将介绍以下内容: Sysmon配置测试,监视CreateRemoteThread操作 c通过APC实现Dll注入 旁路Sysmon测试 Casey Smith@subTee分享的C#实现代码和目的 Sysmon: 可用于监视和记录系统活动,并将其记录在windows事件日志中,包括以下事件: 事件ID 1:流程创建 事件ID 2:进程更改了文件创建时间 事件ID 3:网络连接 事件ID 4: Sysmon服务状态已更改 事件ID 5:进程终止 事件ID 6:驱动程序已加载 事件ID 7:图像已加载 事件ID 8: CreateR…
RenX6的最后回复,