安全工具 - 文章 - 第2页 - 奇安信攻防社区

Cobaltstrike4.0 —— shellcode分析

本文主要记录了笔者对cs生成的shellcode进行分析的过程

1
2
Ga0WeI
发布于 2022-11-28 09:00:00
阅读 ( 7711 )

用 Yara 对红队工具 "打标"（三）——免杀类规则提取（二）

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第四篇，是对前面 "用 Yara 对红队工具 "打标"（三）——免杀类规则提取" 文章中剩余部分的补充。

2
2
沐一·林
发布于 2022-11-24 10:10:30
阅读 ( 5186 )

用 Yara 对红队工具 "打标"（三）——免杀类规则提取

本篇是 "用 Yara 对红队工具 "打标"" 系列文章第三篇，免杀类工具的规则提取。

1
3
沐一·林
发布于 2022-11-21 09:00:01
阅读 ( 5037 )

反制Cobaltstrike的那些手段

此文简单总结了下对抗Cobaltstrike的手段，并对各种对抗方式的原理以及实现进行了一定的研究和落地。

4
4
Ga0WeI
发布于 2022-10-27 12:41:54
阅读 ( 10187 )

初识Rasp——Openrasp代码分析

本文以Openrasp为例，介绍了rasp产品的部署与检测原理，详细分析了OpenRasp的部署和检测、拦截攻击的过程。分析了Rasp产品的绕过方式和优缺点。

1
1
drag0nf1y
发布于 2022-10-20 09:30:02
阅读 ( 6408 )

用 Yara 对红队工具 "打标"（二）

本篇是对用Yara 对红队工具 "打标" 的继承和发展，让思维更高一层。

0
1
沐一·林
发布于 2022-10-19 09:30:00
阅读 ( 6301 )

利用AFL对jsoncpp库进行编译测试，并尝试采用自构造字典、多核并行测试，持久模式等多种特色，利用了四个核进行并行测试，共计完成测试1亿余次。运行总时间约24小时，每个进程fuzzer的轮数约为平均90轮。Totalpath约为3000左右。map density约为2% / 4%。count coverage约为5bits/tuple。 Cpu的利用率约为150%，平均每个进程发现20个unique crash。

0
0
用户180910387
发布于 2022-10-14 09:39:31
阅读 ( 4843 )

Cobaltstrike4.0——记一次上头的powershell上线分析

简单记录下之前CS的powershell上线分析心路历程。

1
3
Ga0WeI
发布于 2022-10-11 09:15:06
阅读 ( 6490 )

Mimikatz:msv功能模块浅析

没学过逆向的web小白，起初想着在主机做弱口检测，但基本都是以爆破的方式实现。由于获取主机明文密码受系统版本和注册表配置影响，所以只能想到NTLM比对，那么NTLM怎么获取呢，一起看看mimikatz的msv功能模块吧

0
1
w1nk1
发布于 2022-10-11 09:14:24
阅读 ( 4264 )

用 Yara 对红队工具 "打标"

我们尝试使用 YARA 作为一种扫描工具，我们根据要扫描的红队工具提取出它们特有的二进制或文本特征，希望能整理成能唯一标识该类（不同版本）的红队工具的 YARA 规则，用于对特定主机扫描时可以快速识别该主机上是否存在对应的红队工具，以加强对目标主机的了解。

2
1
沐一·林
发布于 2022-09-27 11:26:59
阅读 ( 5590 )

Cobaltstrike4.0 学习——http分阶段stagebeacon上线流量刨根问底

简单记录下对cs的http分阶段stagebaecon上线流量分析的过程，以及自己对一些东西的一些思考和想法

4
7
Ga0WeI
发布于 2022-09-06 09:40:52
阅读 ( 7755 )

Cobaltstrike4.0 学习——验证机制学习

简单记录了下cs4.0 的授权验证的学习过程

2
2
Ga0WeI
发布于 2022-08-29 09:55:28
阅读 ( 5625 )

firefox批量get password

Firefox 版本 <32 (key3.db, signons.sqlite) Firefox 版本 >=32 (key3.db, logins.json) Firefox 版本 >=58.0.2 (key4.db, logins.json) Firefox 版本 >=75.0 (sha1 pbkdf2 sha256 aes256 cbc used by key4.db, logins.json)