FireEye 的開源工具 CAPA 識別惡意軟件功能
經過
巴拉加內甚
-
2021 年 8 月 30 日
0
FireEye 推出了一個開源工具 CAPA,用於對潛在的 PE 文件或 shellcode 進行惡意軟件分析CAPA 檢測可執行文件中的功能你對一個 PE 文件或 shellcode
- 1月 08 週六 202219:09
FireEye 的開源工具 – CAPA 識別惡意軟件功能
- 1月 08 週六 202218:57
From User to Domain Admin in (less than) 60 seconds: CVE-2021-42278/CVE-2021-42287
On Patch Tuesday of last November, Microsoft released advisories to address several vulnerabilities in Active-Directory. Analysis of these vulnerabili
- 12月 02 週四 202122:36
內網滲透域內持久化與Windows日誌刪除
0x01 金票
可以使用 krbtgt 的 NTLM hash 創建作為任何用戶的有效 TGT要偽造黃金票據的前提是知道域的 SID 和 krbtgt 賬戶的 hash 或者 AES-256 值
1.1 收集 krbtgt 密碼信息
privilege::debug
lsadump::lsa /in
- 12月 01 週三 202117:05
Mimikatz使用大全
Mimikatz使用大全
0x00 簡介
Mimikatz 是一款功能強大的輕量級調試神器,通過它你可以提升進程權限注入進程讀取進程內存,當然他最大的亮點就是他可以直接從 lsass.exe進程中獲取當前登錄系統用戶名的密碼, lsass是微軟Windows系統的安全機制它主要用於本地安全和登陸策略
- 12月 01 週三 202109:50
攻擊檢測之域權限維持
1.背景介紹
本文主要是對域環境下的權限維持手法進行攻擊檢測以及清理,攻擊的方法不著重描述,檢測的方法只針對終端日誌windows,sysmon,權限維持的手法也只涉及域環境獨有的,像普通終端也存在的啟動項計畫任務服務等不考慮在內,利用漏洞的也直接排除了直接打補丁就好了
2.域持久化
1.黃金票據
- 12月 01 週三 202109:44
event ID 4662 CVE-2020-1472
GUID
1131f6aa-9c07-11d1-f79f-00c04fc2dcd2
and/or
19195a5b-6da0-11d0-afd3-00c04fd930c9
漏洞驗證工具:
利用重置工具:
重置hexpass 工具:
工具運行環境:
域控Win2008:192.168.199.131
- 12月 01 週三 202109:40
內網滲透-免殺抓取windows hash
內網滲透時,獲得主機管理員許可權後,通常會抓取使用者的明文密碼或hash,進行pth攻擊
大部分情況會遇到防護軟體,常規抓取方法失效,因此需要對防護進行繞過
Procdump.exe
Procdump是微軟官方釋出的工具,使用該工具可以把lsass的記憶體dump下來,可以繞過大多數的防護軟體
首先
- 12月 01 週三 202109:36
dmp文件 mimikatz獲取明文
第01課:Mimikatz 獲取系統密碼攻防研究
Mimikatz 是法國人 benjamin 開發的一款功能強大的輕量級調試工具,本意是用來個人測試,但由於其功能強大,能夠直接讀取 WindowsXP-20122016 做了安全防護,需要修改注冊表值,重啟後生效,可以獲取明文密碼等操作系統的明文密
- 12月 01 週三 202109:32
神器mimikatz,從lsass裡抓密碼
昨天弄了下OphCrack,一個破解windows密碼的玩意,順帶想起了這個神器,mimikatz,本人首創中文譯名為:咪咪卡住,不要笑,這是很嚴肅的名字
咪咪卡住的下載地址:
mimikat是一個法國人寫的輕量級調試器,因為牛逼,所以成了神器神器之所以出名了,是因為神器可以直接從lsass.exe
- 12月 01 週三 202109:22
mimikatz配合procdump抓取密碼
0x01 獲取本地帳戶密碼
1.1 本地執行
下載mimikatz程序,找到自己系統對應的位數,右鍵以管理員身份運行:
不是管理員會報錯
#提升權限
privilege::debug
#抓取密碼
sekurlsa::logonpasswords
當目標為win10或2012R2以上時,默認在內存緩存
