gakkkkkkiii

爪巴 爪巴 爪巴

权限维持-劫持系统.Net程序

权限维持-劫持系统.Net程序

权限维持-劫持系统.Net程序 简介 通过修改AppDomainManager能够劫持.Net程序。 如果劫持了系统常见.Net程序如powershell.exe的启动过程,向其添加payload,就能实现一种被动的后门触发机制。 主要针对这一思路尝试下劫持过程,以弹框为例子。 测试 先来一个基本的弹框exe。 using System; using System.Windows.For...

白名单-RegAsm/RegSvcs的利用

RegAsm/RegSvcs的利用

白名单-RegAsm/RegSvcs的利用 简介 RegAsm读取程序集中的元数据,并将所需项添加到注册表中。注册表允许 COM 客户端以透明方式创建 .NET Framework 类。 在注册一个类之后,任何 COM 客户端都可以像使用 COM 类一样使用它。 类仅在安装程序集时注册一次。 只有实际注册程序集中的类实例之后才能从 COM 中创建它们。 .NET 服务安装工具RegSvc...

白名单-InstallUtil的利用

InstallUtil的利用

白名单-InstallUtil的利用 简介 InstallUtil(安装程序工具)是一个命令行工具,你可以通过此工具执行指定程序集中的安装程序组件,从而安装和卸载服务器资源。 此工具与 System.Configuration.Install 命名空间中的类配合使用。 需要注意的是这个工具所在的路径没有添加到系统的PATH中,所以需要给上全路径去执行。 InstallUtil.exe路径,...

渗透-Vulnstack靶机学习3

靶机渗透

渗透-Vulnstack靶机学习3 Vulnstack是红日安全团队出品的一个实战环境,本次测试的红日安全 ATT&CK实战系列——红队实战(三)靶场环境,下载地址:http://vulnstack.qiyuanxuetang.net/vuln/detail/5/ Web 一共五个虚拟机文件,下载完后全部启动,有一个web,默认是192.168.1.110,我这改过后面换成了10...

白名单-Control的利用

控制面板加载dll

白名单-Control的利用 简介 Control.exe位于system32目录下,也就是控制面板,控制面板中的对应项,都对应了system目录下的对应项的cpl文件。cpl文件本质上是dll文件,但是规范了导出函数为CPlApplet()。该函数是控制面板应用程序的入口点,它被控制面板管理程序自动调用,且是个回调函数。 当启动控制面板时,它会搜索Windows或System32或注...

Cobalt Strike系列11

External C2上线不出网机器

Cobalt Strike系列11 External C2简介 Cobalt Strike上线问题主要是两种,一种是存在防护软件,一种是内网机器上线。 对于存在防护软件的主要是paylaod被杀以及阻断连接,前者可以通过免杀绕过,后者可以通过配置文件,对C2流量进行处理来绕过。 对于内网机器上线(不出网),一种是纯内网隔离,可以通过smb beacon或者link listener连接跳板...

白名单-MSBUILD的利用

MSBUILD的利用

白名单-MSBUILD的利用 简介 MSBuild能在没有安装vs的环境中编译.net的工程文件,能编译一些特定格式的xml文件。 具体的可以看官方的文档: https://docs.microsoft.com/zh-tw/visualstudio/msbuild/msbuild?view=vs-2015&redirectedfrom=MSDN 测试 首先来几个简单的案例。 编...

白名单-CMSTP配置文件利用

预祝新年快乐!CMSTP配置文件利用

白名单-CMSTP配置文件利用 简介 CMSTP.exe是用于安装Connection Manager服务配置文件的命令行程序。程序接受INF配置文件作为参数。攻击者可以向CMSTP.exe提供受恶意命令感染的INF文件,以脚本(SCT)和DLL的形式执行任意代码。CMSTP是一个受信任的Microsoft二进制文件,位于以下两个Windows目录中: C:\Windows\System3...

分离免杀测试

分离免杀测试

分离免杀测试 简介 这个系列断了好久(年底要冲塔恰饭的),今天重新开坑。之前是直接把shellcode混淆以后放在源码中运行直接加载,之前的那个今天看了看V站已经有17个报毒了。这次尝试分离shellcode,将shellcode放在外网的服务器上,本地实现一个有下载功能的shellcode加载器。测试以下效果还是可以的。 测试 首先实现服务器端的代码,这个比较简单,用python写一下几...

mstsc中提取明文凭据-RdpThief实践

RdpThief实践

从mstsc中提取明文凭据-RdpThief实践 简介 尝试使用RdpThief从远程桌面客户端提取明文凭据,通过读取运行过程中mstsc的内存数据,监控API调用,找到后hook对应API,从中导出存储的明文口令。 准备工作 首先先需要安装Detours库。 Detours库用于监视和检测Windows上的API调用,可以用来hook系统API。 这里我用的是vs2015,直接通过命令...