九州bet8APP_九州BET9_九州bet8入口

九州bet8APP_九州BET9_九州bet8入口

C&C远控工具:Ares

这篇文章,我们将来学习Ares这款工具。这款工具可以通过web界面进行C&C控制。该工具在GitHub可以下载,地址在这里。 介绍 Ares是一款Python编写的远程访问工具。Ares由两部分主要程序组成:C&C服务器和客户端,C&C服务器是管理客户端代理的web界面,客户端需要运行在被入侵的主机上,并且确保能够与C&C服务器通信。 下面进行实战演示 · 攻击机:kali Linux · 靶机:Windows10 安装 首先,我们需要在攻击机中安装此工具。我们可以使?


Zimbra XMPP XXE 复现

前言 周末没事,接着找CVE-2018-20160,XMPP的XXE https://wiki.zimbra.com/wiki/Zimbra_Security_Advisories https://wiki.zimbra.com/wiki/Zimbra_Releases/8.8.9/P9 补丁上说XXE是zimbra-chat插件的漏洞,由于zimbra-chat插件是apt安装,所以如果管理员没事upgrade一下就修复了,而8.7.x的AutoDiscovers XXE是需要手工安装补丁的,相对会多一些。 顺便一说:其它XMPP协议估计搞法估计都差不多,大佬们有空可以多试试 之前写的关于zimbra其它漏洞的复现: https://blog.csdn.net/fnmsd/article/details/88657083


深入剖析BokBot的中间人攻击方式(上)

一、BokBot:代理模块 CrowdStrike在最近的一篇博文中对BokBot的核心模块做了深入分析,而本篇文章作为前篇内容的延伸,将对BokBot代理模块的内部工作原理做深入探讨。BokBot代理模块是一段十分复杂的代码,其主要目的是诱骗受害者将敏感信息发送到命令和控制(C2)服务器。 二、概述 BokBot银行木马(也被称为IcedID)于2017年4月首次被发现,自那时起,CrowdStrike便对其展开了持续跟踪工作。BokBot被攻击者们广泛用于打击全球范围内的金融机构。它能通过检?


过D盾shell新思路

前言 今天在逛论坛时,遇到一个坛友,分享了一个shell过D盾的思路,满好玩的,分析下。 原贴 首先来看下D盾扫描结果。 以前的思路常规,就是定义一个变量b:$b='';为空,$b = null;,$b = "\n";然后变量a: $a = $_GET['1'];,eval($a.$b);,或者eval($b.=$a); 。但是现在这种方法基本报一级或者直接杀,查出某个变量。 <?php $m=$_GET['1']; $a=substr($m,0,1); $b=substr($m,1,9999); eval($a.$b); ?> 而今天这个论坛看到的,思路有趣。 substr()函数返回字符串的一部分?


RPC漏洞挖掘案例研究(下)

在《RPC漏洞挖掘案例研究(上)》一文中,我们向你展示了如何使用不同的可用工具和在线资源,在Windows RPC服务器中发现潜在的安全风险(微软通用遥测客户端漏洞)。另外,我们还演示了对RPC服务器进行反向汇编所需的一些基本知识。不过,我们坚信RPC服务器中还有其他潜在的安全漏洞。所以,在本篇文章中,我们将继续研究并改进强化Windows RPC服务器的方法,以便发现其他RPC服务器漏洞。 前言 在本博客系列的第一部分中,我们讨论了我们在Fort


利用LeechAgent对远程物理内存进行取证分析

LeechAgent是一个100%免费的开源端点取证解决方案,适用于对活动目录环境中的Windows端点进行远程物理内存的取证与分析。 LeechAgent提供了一种简单、高性能且安全的方式来远程访问和查询系统物理内存(RAM)。使用MemProcFS挂载远程内存时,就像通过点击方式操作普通文件一样简单,因此,它非常适合用于快速的筛选分类。此外,使用PCILeech的话,我们还可以通过网络来转储内存。通过向远程主机提交分析脚本,我们可以通过MemProcFS Python API来查询物理


从PHP底层看open_basedir bypass

前言 有国外的大佬近日公开了一个php open_basedir bypass的poc,正好最近在看php底层,于是打算分析一下。 poc测试 首先测试一下: 我们用如上源码进行测试,首先设置open_basedir目录为/tmp目录,再尝试用ini_set设置open_basedir则无效果,我们对根目录进行列目录,发现无效,返回bool(false)。 我们再尝试一下该国外大佬的poc: 发现可以成功列举根目录,bypass open_basedir。 那么为什么一系列操作后,就可以重设open_basedir了呢?我们一步一步从头探索。 ini


门罗币挖矿+远控木马样本分析

近日,威胁情报小组在对可疑下载类样本进行分析时,发现一起门罗币挖矿+木马的双功能样本。该样本会在执行挖矿的同时,通过C2配置文件,到指定站点下载具有远控功能的样本,获取受害主机信息,并进一步控制受害主机。 详细分析过程: 样本主体: 样本主体文件采用的是360杀软的图标,并且文件描述信息为 “360主动防御服务模块”,诱导用户点击执行。 主体在执行时会释放拷贝自身到C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\SQLAGENTSA.exe,并继续执行。