红:Virtual Network Computing (VNC)
VNC概述 Virtual Network Computing (VNC) 是一个图形桌面共享系统,允许用户远程控制另一台计算机。它使用 RFB (Remote FrameBuffer) 协议来实现。 VNC 包括一个服务端和一个客户端。服务端运行在被控制的机器上,而客户端运行在远程用户的机器上。服务端将其屏幕内容分享给客户端,而客户端则可以发送键盘和鼠标……
红:DNS fast flux
概述 DNS fast flux是一种技术,它涉及将多个IP地址与单个域名关联,并快速更改这些IP地址。有时会使用数百甚至数千个IP地址。攻击者使用DNS fast flux来保持其网络属性的运行,隐藏其恶意活动的真正来源,阻止安全团队封锁其IP地址。这种技术通常由僵尸网络(botnets)使用。 攻击者需要他们的网站保持运行,以执行网络钓鱼攻击、托管恶意软……
红:通过rtlFlsAlloc回调执行 shellcode
纤程 https://learn.microsoft.com/en-us/windows/win32/procthread/fibers 纤程(fiber)是一种需要应用程序手动调度的执行单元,本质上是可以随意换入和换出的寄存器和堆栈状态,并反映在它们正在执行的线程上。纤程在调度它们的线程的上下文中运行。每个线程可以调度多个纤程。一般来说,纤程在设计良好的多……
红:浏览器中的浏览器(BITB)攻击
概述 https://github.com/mrd0x/BITB 对于安全专业人员而言,URL 通常是域中最受信任的方面。 IDN Homograph和DNS 劫持等攻击可能会降低 URL 的可靠性,但不会降低到使 URL 不可靠的程度。 弹出登录窗口 当我们通过 Google、Microsoft、Apple 等对网站进行身份验证时,我们经常会看到一个弹出窗……
蓝:Protected Process Light
概述 Protected Process Light (PPL) 是 Windows 10 引入的一种安全机制,用于增强进程的安全性,以抵御恶意代码攻击和数据泄露。PPL 是一种进程保护技术,它将进程的可信度划分为四个级别,每个级别都有相应的安全特性和限制。 PPL 技术的实现是通过 Windows 操作系统的内核,将进程标记为“受保护进程”。当进程被标记为……
红:URL与保留字符与语义攻击
背景 参考链接:https://inquest.net/blog/2022/07/05/automated-twitter-post-decoded-shellcode @符号作为URL的保留符号,参考RFC 3986 语义攻击 在7.6中发现语义攻击 ……
红:在 Excel 中执行远程 VBA 脚本
这种技术很有趣,它有点类似于 Microsoft Word 中的“远程模板”技术。 该技术基本上是通过插入一个名为“customUI.xml”的 XML 文件将自定义 UI 功能添加到 Excel 文档中。自定义 UI 是 Microsoft 设计的一项功能,用于允许对 Microsoft Office 文档进行 UI 自定义,并且它已被攻击者滥用来创建特制……
红:利用Windows Perception Simulation Service横向移动技术实现DLL劫持
ServiceMove 参考地址:https://github.com/netero1010/ServiceMove-BOF ServiceMove 是一种有趣的横向移动技术的 POC 代码,它通过滥用 Windows 感知模拟服务来实现 DLL 劫持代码执行。每次启动“Windows 感知模拟服务”时,都会加载一个不存在的 DLL 文件(即 hid.dll……
红:本地二进制文件和脚本(Living Off The Land Binaries and Scripts)-LOLBin
简介 https://lolbas-project.github.io/ https://github.com/LOLBAS-Project/LOLBAS/blob/master/README.md ”Living off the land“这个词是由 Christopher Campbell (@obscuresec) 和 Matt Grae……
- 1
- 2