URL与保留字符与语义攻击
背景 参考链接:https://inquest.net/blog/2022/07/05/automated-twitter-post-decoded-shellcode @符号作为URL的保留符号,参考RFC 3986 语义攻击 在7.6中发现语义攻击 ……
在 Excel 中执行远程 VBA 脚本
这种技术很有趣,它有点类似于 Microsoft Word 中的“远程模板”技术。 该技术基本上是通过插入一个名为“customUI.xml”的 XML 文件将自定义 UI 功能添加到 Excel 文档中。自定义 UI 是 Microsoft 设计的一项功能,用于允许对 Microsoft Office 文档进行 UI 自定义,并且它已被攻击者滥用来创建特制……
利用Windows Perception Simulation Service横向移动技术实现DLL劫持
ServiceMove 参考地址:https://github.com/netero1010/ServiceMove-BOF ServiceMove 是一种有趣的横向移动技术的 POC 代码,它通过滥用 Windows 感知模拟服务来实现 DLL 劫持代码执行。每次启动“Windows 感知模拟服务”时,都会加载一个不存在的 DLL 文件(即 hid.dll……
本地二进制文件和脚本(Living Off The Land Binaries and Scripts)-LOLBin
简介 https://lolbas-project.github.io/ https://github.com/LOLBAS-Project/LOLBAS/blob/master/README.md ”Living off the land“这个词是由 Christopher Campbell (@obscuresec) 和 Matt Grae……
攻击者获取网络访问权限的 10 种方式
1. 不强制 执行 多因素身份验证 (MFA) 当不良行为者如此关注网络钓鱼、受信任的关系和有效帐户等技术时,MFA 尤其有用。这些方法中的任何一种都可能对受影响的组织产生严重的长期影响。这不仅仅是他们如何进入,而是他们之后会做什么。 一家被勒索软件和数据泄露击倒的公司可能经历了几个攻击阶段才能达到这一点。想象一下,如果所有这些都从未发生过,因为初始进入点(……
调查取证:用户访问记录 (UAL)
简介 UAL 是 Microsoft Windows Server 版本中默认包含的一项功能,从 Server 2012 开始。根据Microsoft的定义,UAL 是一项“以 IP 地址和用户名的形式记录已安装产品的唯一客户端访问请求和本地服务器上的角色。” 这意味着 UAL 记录用户对 Windows 服务器上运行的各种服务的访问。 访问记录到磁盘上的数……
调查取证:BMChache
BMChache全称RDP Bitmap Chache,即RDP(远程桌面协议)位图缓存。是Windows为了加速RDP连接时的显示,减少数据量的传输,改善RDP连接体验的一种缓存机制。 &n……
调查取证:shellbags
简介 Windows Shell Bags 被引入到 Microsoft 的 Windows 7 操作系统中,并且出现在所有后来的 Windows 平台上。Shellbags 是注册表项,用于改善用户体验并在需要时调用用户的偏好。Shell Bags的制作依赖于用户进行的练习。 在 shellbags 的帮助下: 1. 可以证明特定用户是否访问了特定文件夹。……
红:在数字证书中嵌入payload
参考地址 https://3gstudent.github.io/%E9%9A%90%E5%86%99%E6%8A%80%E5%B7%A7-%E5%9C%A8PE%E6%96%87%E4%BB%B6%E7%9A%84%E6%95%B0%E5%AD%97%E8%AF%81%E4%B9%A6%E4%B8%AD%E9%9A%90%E8%97%8FPayload h……
- 1
- 2