Recently Updated Pages
中毒与中继攻击
NetBIOS 和 LLMNR 中毒理论 NetBIOS-NS (NetBIOS Name Service) 和 LLMNR (Link-Local Multicast Name Raesol...
Socks代理
在之前的内容中,我们已经使用了一些代理与跳板的技术,用于访问靶场内部的主机,这是因为除了边界主机 Web01 以及 Web02 外,我们不能直接访问到其他主机。为了推动攻击的流程,我们只是讲了特...
课程所用 C2 服务器配置
考虑到在 Azure 上部署服务作为 C2 基础设施的组成部分,具有一定的门槛与成本,在课程推进与靶场中,我们搭建一个简易的 C2 基础设施。出于节约成本起见,转发器与 C2 服务器同主机,让 ...
资源访问
资源访问 本课程配套了相应的资源,不仅包含了教材,还有一套自治的靶场。靶场具有 5 个域,总计 13 台主机,共同模拟了一家虚构制药公司 Raven Medicine (渡鸦制药)。其中,个别...
【免责声明】
因为该课程是 2 年多前以前编写的,有些内容现在看会稍显过时,并且那时候能力也不比现在。话虽如此,因为高度体系化,我还是有信心比很多同类课程的教材更全面和通透的。 此外不接受批评和建议,不是因...
面试专题
面试专题
面试专题
1. 笼统地概括一下怎么可以隐藏 C2 的流量? 2. 以 Cobalt Strike Http 监听器为例,Beacon 与团队服务器是怎么通信的? 3. Sliver C2 ...
搭建 EDR 测试环境
有效的 EDR 测试环境对于我们检验自己所写载荷的规避性能十分重要。可惜的是,EDR 几乎都不对个人用户开放,而且通常都有着最低设备数量要求,价格也不菲。除了在公司里申请一个配置了 EDR 的测...
本地侦查思路
在成功的利用之后,我们已经拿到了服务器本地的访问了,根据服务器配置的不同,此时我们可能已经是最高权限了,也可能是低权限用户。我们需要充分利用现有的访问,对本地信息进行详尽的侦查,包括但不局限于网...
PE 文件
可移植可执行 (PE) 文件格式与 Windows 操作系统上能实现代码执行的文件类型所使用,常见的拓展名有 exe、dll、sys 等。PE 格式描述了文件必须遵循的标准结构,以便定位其内容并...
调用syscall实现用户态Hook绕过
在上个小节,我们主要是通过对 ntdll 模块进行覆盖或者补丁来移除 hook 实现用户态 hook 的绕过。但是这些方法涉及到对 ntdll 的纂改,以及对内存权限的修改,具有一定的风险。实际...
绕过用户态Hooking
在上个小节,我们讨论了 EDR 在用户态设置 Hook 的原理,那么相应地,我们可以根据这原理寻找间隙,实现对用户态 Hook 的绕过。截至目前,已经有多种方法绕过 Hook。不过,Hook 并...
用户态Hooking介绍
Hook,即钩子,在网络安全用语中,指的是拦截并且修改特定的 API 执行流程,通常用于 Debugging,逆向工程,游戏作弊,检测恶意软件行为。API Hook 将原有的 API 替换为自定...
反射式加载与膨胀式加载
CobaltStrike 的 Beacon,实际上是一个 DLL。Shellcode 形式的 Beacon,是补丁后的 DLL 文件。通过巧妙的补丁,Beacon 可以实现像 Shellcode...
代码注入与进程操纵
代码注入是一项恶意软件的常见技术,将恶意代码,如 shellcode,乃至 PE 文件,输入到目标进程,实现提高稳定性以及寄居在看起来良性的进程之中以规避检测。 代码注入的方法有很多,有着各自...
父进程欺骗
父进程欺骗是一种允许攻击者使用任意父进程启动程序的技术,这有助于使攻击者的程序看起来是由另一个进程生成的,有助于规避基于父子进程关系的检测,尤其是当我们的 Beacon 在非常规的进程下运行,进...
Windows事件追踪
Windows 事件追踪器 (ETW) 提供了一种追踪和记录用户模式应用程序和内核模式驱动程序引发的事件的机制。ETW 最初是为了调试和性能监控目的而引入的,但现在它可以用于检视 IoC,例如内...
约束语言模式
背景 约束语言模式,即 CLM,是 AppLocker 中的一种,如果我们对脚本类型文件启用了 AppLocker 规则,那么在运行 PowerShell 的时候便是约束语言模式。当 CLM ...
应用程序白名单
无论是试图获得初始 Beacon 会话,还是对目标用户与主机进行后渗透操作,应用程序白名单作为一项安全控制机制,会阻止我们的行动。接下来,我们来探讨 AppLocker 的概念,与其绕过技术。 ...