Cobaltstrike4.0 —— shellcode分析

本文主要记录了笔者对cs生成的shellcode进行分析的过程

  • 0
  • 1
  • Ga0WeI
  • 发布于 2022-11-28 09:00:00
  • 阅读 ( 273 )

用 Yara 对红队工具 "打标"(三)——免杀类规则提取(二)

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第四篇,是对前面 "用 Yara 对红队工具 "打标"(三)——免杀类规则提取" 文章中剩余部分的补充。

用 Yara 对红队工具 "打标"(三)——免杀类规则提取

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第三篇,免杀类工具的规则提取。

反制Cobaltstrike的那些手段

此文简单总结了下对抗Cobaltstrike的手段,并对各种对抗方式的原理以及实现进行了一定的研究和落地。

  • 1
  • 2
  • Ga0WeI
  • 发布于 2022-10-27 12:41:54
  • 阅读 ( 1280 )

初识Rasp——Openrasp代码分析

本文以Openrasp为例,介绍了rasp产品的部署与检测原理,详细分析了OpenRasp的部署和检测、拦截攻击的过程。分析了Rasp产品的绕过方式和优缺点。

  • 1
  • 1
  • drag0nf1y
  • 发布于 2022-10-20 09:30:02
  • 阅读 ( 566 )

用 Yara 对红队工具 "打标"(二)

本篇是对 用Yara 对红队工具 "打标" 的继承和发展,让思维更高一层。

对jsoncpp库进行亿次AFL模糊测试

利用AFL对jsoncpp库进行编译测试,并尝试采用自构造字典、多核并行测试,持久模式等多种特色,利用了四个核进行并行测试,共计完成测试1亿余次。运行总时间约24小时,每个进程fuzzer的轮数约为平均90轮。Totalpath约为3000左右。map density约为2% / 4%。count coverage约为5bits/tuple。 Cpu的利用率约为150%,平均每个进程发现20个unique crash。

Cobaltstrike4.0——记一次上头的powershell上线分析

简单记录下之前CS的powershell上线分析心路历程。

  • 1
  • 2
  • Ga0WeI
  • 发布于 2022-10-11 09:15:06
  • 阅读 ( 928 )

Mimikatz:msv功能模块浅析

没学过逆向的web小白,起初想着在主机做弱口检测,但基本都是以爆破的方式实现。由于获取主机明文密码受系统版本和注册表配置影响,所以只能想到NTLM比对,那么NTLM怎么获取呢,一起看看mimikatz的msv功能模块吧

  • 0
  • 1
  • w1nk1
  • 发布于 2022-10-11 09:14:24
  • 阅读 ( 392 )

用 Yara 对红队工具 "打标"

我们尝试使用 YARA 作为一种扫描工具,我们根据要扫描的红队工具提取出它们特有的二进制或文本特征,希望能整理成能唯一标识该类(不同版本)的红队工具的 YARA 规则,用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具,以加强对目标主机的了解。

Cobaltstrike4.0 学习——http分阶段stagebeacon上线流量刨根问底

简单记录下对cs的http分阶段stagebaecon上线流量分析的过程,以及自己对一些东西的一些思考和想法

  • 2
  • 3
  • Ga0WeI
  • 发布于 2022-09-06 09:40:52
  • 阅读 ( 958 )

Cobaltstrike4.0 学习——验证机制学习

简单记录了下cs4.0 的授权验证的学习过程

  • 2
  • 2
  • Ga0WeI
  • 发布于 2022-08-29 09:55:28
  • 阅读 ( 943 )

firefox批量get password

Firefox 版本 <32 (key3.db, signons.sqlite) Firefox 版本 >=32 (key3.db, logins.json) Firefox 版本 >=58.0.2 (key4.db, logins.json) Firefox 版本 >=75.0 (sha1 pbkdf2 sha256 aes256 cbc used by key4.db, logins.json)

  • 0
  • 0
  • cca
  • 发布于 2022-08-09 09:35:16
  • 阅读 ( 1252 )

关于文件捆绑的实现

  • 5
  • 2
  • Macchiato
  • 发布于 2022-08-05 09:55:10
  • 阅读 ( 1895 )

打造一款适合自己的扫描工具(二)

基于mitmproxy结合python实现被动扫描脚本工具

  • 5
  • 4
  • 阿蓝
  • 发布于 2022-08-05 09:54:50
  • 阅读 ( 1628 )

打造一款适合自己的扫描工具

手把手带你打造一款适合自己的扫描工具

  • 9
  • 4
  • 阿蓝
  • 发布于 2022-07-18 09:41:22
  • 阅读 ( 2341 )

记一次分析crawlergo的URL去重原理

如何编写一个高效且准确,最重要还是要快的URL去重脚本,是一个需要大量实践基础+拥有好的想法+具备工程化思想的难题

  • 0
  • 0
  • xq17
  • 发布于 2022-07-13 14:31:46
  • 阅读 ( 636 )

一种PHP后门混淆方法

混淆是一门艺术,通过各种变化来实现脚本的免杀,后门查杀通常是使用正则表达式来进行静态匹配,而绕过大量已有正则的覆盖,就能实现免杀的效果,当然,这种方式也可能成为查杀工具的养料,自己学会变换的核心原理,就能实现真正意义上的免杀。

端口扫描工具合集

端口扫描这个词,大家并不陌生,无论是在边界资产探测,还是在内网服务扫描,都离不开端口扫描这个技术,当然,不可能手工来做,必须依赖工具进行,那么有哪些端口扫描工具可以用呢?它们又有那些特点呢?

目录枚举能给我们带来什么收益

在测试 web 系统时,大家可能都会对目标进行目录枚举,而目录枚举能给我们带来什么样的收益呢?我分析了一些目录枚举工具,一起来学习一下,目录枚举的价值。