一次cs样本免杀实践
本文记录笔者使用常见默认配置的``cobaltstrike shellcode``免杀的尝试,构造自己的shellcodeloader加载对应的shellcode实现对常见杀软查杀绕过,实现了对一些常见杀软的绕过,免杀效果还算不错;最后给出来了些对抗文中所使用免杀手段的方法和思路;
- 8
- 3
- Ga0WeI
- 发布于 2023-12-25 14:41:01
- 阅读 ( 8691 )
Ga0WeI
windows杂谈:notepad 的红队利用新手法及工具的实现
前几天朋友的电脑遇到这样一个问题,他想要运行某个jar文件,不小心点击了右键选项中的“使用notepad打开”,这里的notepad指的是windows11自带文件编辑器,他的jar文件快将近200MB,这导致notepad直接卡死。原本以为关掉后就无事发生了,但事实并非如此,此后他每次打开notepad都会默认去打开那个文件,导致进程崩溃。 他第一时间的想法是删除这个文件,这样即使打开notepad也会因为找不到文件而跳过这个步骤。事实并非如此吗?是否我们可以利用这个特性做一些好玩的事情呢?
- 1
- 3
- 10cks
- 发布于 2024-05-09 10:00:02
- 阅读 ( 5417 )
10cks
test123213
内部网络安全纵深防御体系构建(方案设计与实施)
内部网络安全纵深防御体系构建(方案设计与实施),以下内容为方案设计,不涉及真实环境,均在虚拟机模拟。
- 5
- 3
- cumt梅苑杀手
- 发布于 2024-04-18 14:57:16
- 阅读 ( 5016 )
cumt梅苑杀手
怜芩
内网渗透导出HASH
在内网渗透中当我们得到一台高权限用户的身份时,就可以抓取到当前机器上的各类密码。 虽然任务要求是导出域hash的方式,但在内网渗透中,获取当前机器的hash也有可能获取到域用户的hash,因此这里也分析一下如何获取当前机器的明文密码。
- 1
- 1
- 怜芩
- 发布于 2024-08-12 09:32:47
- 阅读 ( 2527 )
Exchange邮服渗透技巧
在进行渗透过程中,Exchange邮件服务器通常是我们重点关注的对象,因为拿下了Exchange邮件服务器,凭借其机器账户的权限,我们可以赋予其他域内用户dcsync的权限,进而导出域内hash,拿下整个域。
- 3
- 7
- 怜芩
- 发布于 2024-08-22 10:01:31
- 阅读 ( 2472 )
SCRIPTBLOCK Smuggling:伪装 PowerShell 安全日志并绕过 AMSI 防护,无需使用REFLECTION和PATCHING
近年来,PowerShell在安全渗透测试者、攻击模拟团队以及一定程度的网络高级持续性威胁行为者中的使用率有所下降。这背后有多种原因,但主要是由于PowerShell v5版本和AMSI(反恶意软件扫描接口)引入了PowerShell的安全日志功能。
- 0
- 0
- csallin
- 发布于 2024-07-04 09:37:28
- 阅读 ( 1952 )
csallin
一种颠覆防守方防守规则的流量隐藏方法
那么,在内网中能不能设计出一套方法,让两台主机之间没有连接,还可以交换数据,达到命令控制的目的?还真想出来了一个这样的框架。
- 0
- 0
- Harper Scott
- 发布于 2024-09-19 10:11:35
- 阅读 ( 1619 )
在 EDR 时代恶意软件通过虚拟化逃避终端检测
本博客文章回顾了一种逃避工具的演变,旨在在红队合作中协助有效载荷传递。我们将涉及该工具的历史以及在进攻和防御进展面前的未来潜力。
- 0
- 0
- csallin
- 发布于 2024-10-30 09:40:11
- 阅读 ( 791 )