WEB和服务器安全漏洞
黑客技术领域,包括内外部网络渗透、反向破解、网络木马病毒分析等。
1,239个主题在此版块
-
- 0 篇回复
- 95 次查看
0x00 前言 砷焙烧同Kerberoasting类似,如果满足条件,就能够获得用户口令的哈希,再结合哈希卡特进行破解,最后能够还原出用户的明文口令。 本文将要参考公开资料,结合自己的理解,介绍砷焙烧的利用方法,最后给出防御建议。 0x01 简介 本文将要介绍以下内容: 砷焙烧的原理 砷焙烧的利用条件 砷焙烧的利用方法 破解混杂的方法 防御建议 0x02 AS-REP Roasting 1.简介 对于域用户,如果设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证",此时向域控制器的88端口发送按要求请求,对收到的组件代表内容重新组合,能够拼接成" Kerberos 5 AS-REP etype 23"(18200)的格式,接下来可以使用哈希卡特对其破解,最终获得该用户的明文口令 2.利用前提 域用户设置了选项"不需要麻省理工学院开发的安全认证系统预身份验证" 通常情况下,该选项默认不会开启 3.利用思路 通常在域渗透中用来维持权限 需要先获得对指定用户的泛型写入权限,利用思路如下: 开启用户选项"不需要麻省理工学院开发的安全认证系统预身份验证" 导出混杂并破解 关闭用户选项"不需要麻省理工学院开发的安全认证系统预身份验证" 0x03 AS-REP Roasting的利用方法 1.寻找满足条件的用户 用户需要开启选项"不需要麻省理工学院开发的安全认证系统预身份验证" 这里可以使用轻量级目录访问协议查询满足条件(…
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 112 次查看
0x00 前言 在上一篇文章《CAT文件数字签名使用技巧》 介绍了证书签名的基础知识,Windows系统下向文件签名有两种方法:添加在文件末尾(验证码)和猫文件(目录),本文将介绍验证码签名的相关利用技巧——PE文件的签名伪造与签名验证劫持 注: 本文介绍的技巧参考自matt Graeber @ matti festigation公开的资料,本文将结合自己的经验,整理相关内容,添加个人理解。 参考资料: 幽灵特工队https://号。io/assets/resources/specter ops _ revising _ Trust _ in _ windows。可移植文档格式文件的扩展名(portable document format的缩写) http://www。剥削-星期一。com/2017/08/真实ode-signals的应用。超文本标记语言 https://号车道。谷歌。com/file/d/0 b-k 55 rloulafnms S1 aw 1 rbx f1 TMC/view 0x01 简介 本文将要介绍以下内容: 体育课文件的验证码签名伪造 劫持签名验证过程,实现代码执行,作为后门 0x02 PE文件的签名伪造 验证码的详细说明文档可参考: http://下载。微软。com/download/9/c/5/9c5b 2167-8017-4 BAE-9 FDE-d 599 BAC 8184 a/authentic ode _ PE。docx …
XenoG的最后回复, -
- 0 篇回复
- 98 次查看
0x00 前言 最近从@cpl3h的博客中了解到如何使用远程桌面协议建立通道。 本文将对这种方法进行梳理,并根据自己的经验补充个人理解。 学习地址: https://ijustwannared . team/2019/11/07/C2-over-RDP-virtual-channels/ 0x01 简介 本文将介绍以下内容: 使用场景 使用共享文件建立通道。 使用rdp2tcp建立通道 使用UniversalDVC建立通道 利用率分析 辩护建议 0x02 使用场景 因为防火墙的设置,只能连接一台Windows服务器的远程桌面,那么如何利用这台Windows服务器作为跳板进入内网呢? 简要描述下图 0x03 使用共享文件建立通道 读写RDP客户端和RDP服务器之间共享的文件,作为数据传输的通道。 概念验证: https://github.com/outflanknl/external_c2 这是根据Cobalt Strike中的外部C2规范编写的POC。 实现原理: 建立远程桌面连接时,可以在RDP客户端和RDP服务器之间创建一个共享文件夹,可以读写共享文件作为数据传输的通道。 1.Windows系统连接远程桌面并开启文件共享 (1)通过配置mstsc.exe开启文件共享 如下图 (2)使用FreeRDP开启文件共享 下载地址: https://cloudbase.it/fre…
风尘剑心的最后回复, -
- 0 篇回复
- 119 次查看
0x00 前言 SSH是一种网络协议,用于计算机之间的加密登录,通常用于远程登录Linux系统。 在渗透测试中,通常需要考虑SSH的密码爆炸和日志删除。 本文将介绍渗透测试的一些基本内容,并结合使用方法给出检测建议。 0x01 简介 本文将介绍以下内容: 程序SSH密码验证 删除SSH日志 绕过SSH日志 防御探测 0x02 程序实现SSH口令验证 1.Python实现 Paramiko库,第三方库,很好用。 我的代码已经上传到github,地址如下: https://github . com/3g student/Homework-of-Python/blob/master/ssh check . py 支持代码密码登录和证书文件登录 2.C#实现 在以下地址使用第三方库SSH.NET: https://github.com/sshnet/SSH.网 编译的dll下载地址: https://github.com/sshnet/SSH.NET/releases/download/2016 . 1 . 0/SSH。NET-2016.1.0-bin.zip 参考文件: https://github.com/sshnet/SSH.NET/releases/download/2016 . 1 . 0/SSH。NET-2016.1.0-help.chm 将Renci.SshNet.dll引入程序后,用法也很简单。 编程时…
轩辕三官的最后回复, -
- 0 篇回复
- 118 次查看
0x00 前言 之前的文章《域渗透——DNS记录的获取》和《域渗透——普通用户权限获得DNS记录》介绍了在域环境下获取DNS记录的方法,有助于我们快速了解域内的网络架构。 但DNS记录只能作为辅助判断,DNS记录、DNS记录中对应的MachineAccount和实际电脑之间没有对应关系。 域中的非特权用户可以自由创建DNS记录和机器帐户。 本文将介绍域内无权限用户创建DNS记录和MachineAccount的方法,并记录需要掌握的知识点。 0x01 简介 本文将介绍以下内容: 机器帐户简介 非特权用户创建机器帐户的方法 非特权用户创建DNS记录的方法 0x02 MachineAccount简介 1.MachineAccount 每次电脑加入域时,都会创建一个MachineAccount作为“域电脑”组的成员。 在域环境中,您可以通过以下命令获得所有计算机帐户的列表: 网络组“域计算机”/域 每个计算机帐户名都以字符$结尾 注: 当使用Mimikatz的DCSync函数导出所有用户哈希时,所有机器帐户的哈希也将被导出。 如果得到机器账号的hash,就可以用它来制作银票,进而获得相应服务的访问权限。请参考之前的文章《域渗透——Pass The Ticket》。 2.MachineAccountQuota 用于表示允许用户在域中创建的计算机帐户的数量。默认值为10。 描述文档: https://docs . Microsoft …
RenX6的最后回复, -
- 0 篇回复
- 116 次查看
0x00 前言 最近《Mimikatz Delivery via ClickOnce with URL Parameters》的Casey Smith@subTee介绍了如何在ClickOnce程序中输入URL参数,实现了执行mimikatz的技巧,并分享了一个POC。 我对此很感兴趣,于是做了进一步的学习和研究。 本文将记录学习心得,介绍ClickOnce的使用方法,总结基于ClickOnce的攻击技巧和防御措施。 博客地址: http://subtox 10 . blogspot . com/2016/12/mimikatz-delivery-via-clickonce-with . html POC地址: https://gist . github . com/subTee/BD 446 efeacf 656 c 67 F5 c 17 ca 0787 f15b 0x01 简介 ClickOnce: ClickOnce是一种部署技术,可用于创建自我更新的基于Windows的应用程序,这些应用程序可以在最少的用户交互下安装和运行。 ClickOnce主要解决程序部署中的几个问题: 更新应用程序的困难 使用Microsoft Windows Installer部署,每次更新应用程序时,用户都必须重新安装整个应用程序;使用ClickOnce部署,您可以自动提供更新。将只下载应用程序的更改部分,然后从新的并行文件夹中重新安装完整和更新的应用程序。 对用户计算机的…
HACK7YD的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 北京时间6月14日凌晨,微软发布了编号为CVE-2017-8464的漏洞公告。官方介绍,Windows系统在解析快捷方式时存在远程执行任意代码的高危漏洞。黑客可以通过u盘、网络共享等方式触发漏洞,完全控制用户系统,安全风险大。 该漏洞的原理与2010年美国和以色列入侵并摧毁伊朗核设施时使用的Stuxnet非常相似,因此也被一些人称为“第三代Stuxnet”。 但国内一些通过百度搜索关键词“cve-2017-8464 Recurrence”找到的文章,对该漏洞的重现有误解,误将powershell代码执行按快捷方式作为该漏洞的利用方式。 因此,本文将纠正这一错误。 此外,目前可供测试的msf攻击脚本中有一个缺陷。漏洞被触发后,进程explorer.exe崩溃,漏洞利用不完善。 考虑到距离补丁发布日期已经超过45天,本文将公开使用脚本中的bug修复方法,实现对该漏洞的“完美利用”。 0x01 简介 本文将介绍以下内容: 简介 测试漏洞 错误修正 保护 0x02 漏洞简介 此漏洞是在Microsoft Windows系统中处理LNK文件过程中的远程代码执行漏洞。 当一台易受攻击的计算机被插入带有病毒木马的u盘时,漏洞攻击者无需任何额外操作就能完全控制用户的计算机系统。 用户访问网络共享、从互联网下载文件和复制文件也可能触发和利用此漏洞。 也就是说,在以下任何情况下都会触发漏洞: 1.系统开启u盘自动播放功能,插入u盘,漏洞触…
cnhackteam7的最后回复, -
- 0 篇回复
- 159 次查看
0x00 前言 在之前的文章介绍了通过SOAP XML消息实现利用混杂对交换资源的访问,由于采用了较为底层的通信协议,在功能实现上相对繁琐,但是有助于理解通信协议原理和漏洞利用。 如果仅仅为了更高效的开发一个资源访问的程序,可以借助计算机编程语言库exchangelib实现。 本文将要介绍exchangelib的用法,开源代码,实现自动化下载邮件和提取附件。 0x01 简介 本文将要介绍以下内容: exchangelib用法 开发细节 开源代码 0x02 exchangelib用法 参考资料: https://github.com/ecederstrand/exchangelib https://ecederstrand.github.io/exchangelib/ 1.简单的登录测试 代码如下: 从exchangelib导入凭据、帐户、配置、代理 凭据=凭据(用户名=' MYWINDOMAIN \ \ myuser ',密码='topsecret ') 配置=配置(server='outlook.office365.com ',凭据=凭据) Account=Account(primary _ SMTP _ address=' John @ example。' com ',config=config, 自动发现=假,访问类型=委托) 对于account.inbox.all()中的项目order _ by('-datetime _…
Tenfk的最后回复, -
0x00 前言 我之前在研究“使用SCT绕过应用白名单保护”的时候有一个想法:在执行regsvr32命令注册COM组件的过程中,会在注册表HKEY _类_根\CLSID\下同步创建COM组件的键值,而classid的子项InprocServer32包含了scrobj.dll的绝对路径,那么如果修改子项InprocServer32的键值,是否会劫持一些操作呢? 但是,实际修改HKCR“CLSID”下的键值需要管理员的许可,所以这个想法没有被深入研究。直到最近,Matt Nelson@enigma0x3的博客让我有了新的想法。只需要普通用户权限就可以劫持高权限系统的注册表项,这让我对userland注册表劫持有了新的认识。 0x01 简介 本文将介绍用户域注册表劫持的原理,结合实例分析其在用户域持久化和BypassUAC中的应用,并介绍一种借助进程监视器查找BypassUAC的方法。 0x02 Userland registry hijacking原理 1、键值同步 可以在HKCU:\Software\Classes\下修改键值默认名称的数据,同时在HKCR:\下修改对应键值默认名称的数据(前提是该注册表项已经存在于HKCR:\)。 例如: 编辑HKEY _当前_用户\软件\类\ mscfile \ shell \打开\命令的默认值为C:\ test \ admin.exe。 画 注: HKEY _当前_用户\软件\类\下默认不存在mscfile \ shell \ ope…
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
尖REN的最后回复, -
- 0 篇回复
- 84 次查看
0x00 前言 在之前的文章《渗透技巧——从github下载文件的多种方法》中介绍了几种通过cmd从github下载文件的方法,选择了最短的实现代码(长度25)。 本文将从另一个角度介绍在Windows系统下模拟IE浏览器下载文件的方法。 模拟IE浏览器下载文件,不仅可以绕过白名单程序的拦截,还可以在一定程度上隐藏下载行为。因此,本文将从利用的角度介绍具体的利用方法,并结合利用方法总结防御思路。 0x01 简介 本文将介绍以下内容: 模拟IE浏览器下载文件的几种方法 分析优势和劣势 总结辩护思路 0x02 实现方法 由于方法很多,本文做了一个简单的分类,整体分为主动和被动两种模式。 主动模式代表通过命令主动下载文件,被动模式代表劫持用户的行为,在用户打开IE时实现文件下载。 其中,主动模式也要通过当前后台进程是否有IE浏览器进程iexplore.exe来区分。 具体方法如下: 1、主动模式 (1) 后台无IE进程 a) 调用IE COM对象 参考链接: https://adapt-and-attack . com/2017/12/19/internet explorer-application-for-C2/ 该文件通过COM对象InternetExplorer下载。应用程序,后台进程是iexplore.exe。 Powershell代码如下: $ ie _ com=New-Object-com Object intern…
Xiao7的最后回复, -
- 0 篇回复
- 190 次查看
0x00 前言 之前的文章《渗透技巧——Windows日志的删除与绕过》介绍了清除和绕过Windows日志的常用方法,但没有提到清除单个日志。 本次结合刚刚完成的关于清除Windows XML事件日志(EVTX)单条日志的系列文章,介绍了渗透测试中清除Windows XML事件日志(EVTX)单条日志的具体使用方法,并基于利用思路给出了一些防御建议。 Windows事件日志(evtx)单一日志清除系列文章的地址: Windows事件日志(evtx)单一日志清除(一)——删除思路和示例 Windows事件日志(evtx)单日志清除(II) ——程序删除EVTX文件的单日志记录 Windows事件日志(EVTX)单一日志清除(III) ——通过删除文件占用来删除当前系统的单一日志记录 Windows事件日志(EVTX)单日志清除(IV) ——通过注入日志文件句柄删除当前系统的单日志记录。 Windows事件日志(evtx)单条日志清除(5) ——通过DuplicateHandle获取日志文件句柄,删除当前系统的单条日志记录。 0x01 简介 本文将介绍以下内容: 通过命令行获取日志信息。 通过命令行导出日志文件 用修改后的日志文件覆盖原始系统文件。 细节和注意事项 辩护建议 0x02 通过命令行获得日志信息 1、获得Security的最近十条日志 wevtutil.exe量化宽松证券/f:text /rd:true /c:10 2、获得Se…
KaiWn的最后回复, -
- 0 篇回复
- 83 次查看
0x00 前言 在之前的文章《Empire中的Invoke-WScriptBypassUAC利用分析》中,介绍了一种超越权限复制文件的方法。在普通用户权限下,wusa可以将cab文件释放到具有管理员权限的文件夹中,可以进一步实现文件名劫持和UAC绕过。 但是Win10下取消了这个功能,那么有没有更通用的方法呢? 本文将介绍一种适用于Win7-Win10的方法——。它使用COM组件IFileOperation。 0x01 简介 利用原则 三种实现理念 实例代码 实物试验 利用率分析 0x02 利用原理 注: 这种方法是从Defcon 25的车间学来的,Ruben Boonen 《UAC 0day, all day!》。 ppt下载地址: https://github . com/fuzzy security/defcon 25/blob/master/defcon 25 _ UAC-0日-全天_v1.2.pdf 使用IFileOperation这种COM组件超越权限复制文件的前提; Win7之后的系统 可信路径下的可信文件(例如explorer.exe、powershell.exe) 所以有以下三种实现方式: 1、dll劫持或是dll注入 因为可信路径下的可信文件一般都在需要管理员权限的路径下,所以在普通用户权限下基本不可能实现dll劫持。 可行的方法是dll注入。 例如,explorer.exe可以在普通用户权限下被…
CHQ1d的最后回复, -
- 0 篇回复
- 83 次查看
0x00 前言 在渗透测试中,ADS(替代数据流)通常用于隐藏文件中的有效载荷。这种方法最大的优点是不影响文件大小,普通用户很难察觉。 为此,微软提供了‘dir/r’操作,可以用来查看文件的广告。同时,Win XP之后的系统禁止用户直接执行来自广告的程序,限制了广告的利用率。 但是通过一些特殊的用法和技巧,可以更好的隐藏广告,直接从广告中执行程序:) 说明: 写这篇文章的初衷是偶然看到lex inHR的一篇有趣的文章,地址如下: http://insert-script . blogspot . co . at/2012/11/hidden-alternative-data-streams . html 本文介绍了一些绕过广告检测工具的技术,并给出了通过wmi执行广告的方法。 本文将根据lex inHR的文章和我的研究经验,扩展使用广告的技巧,分享如何清除这些特殊的ADS,帮助你提高对广告的理解。 0x01 简介 本文将介绍以下内容: ADS常规利用方法 ADS常规测试工具 测试工具的ADS特殊旁路 消除特殊广告 辩护建议 0x02 常规利用 ADS: 对于NTFS文件系统,请参考以下文章了解基本知识: http://www.freebuf.com/articles/73270.html 创建ADS: 对于文件,命令行: echo test1 test.txt:ThisIsAnADS 成功创建后,test.txt文件…
Anonymous的最后回复, -
- 0 篇回复
- 109 次查看
0x00 前言 LaZagne是一个开源应用程序,用于检索存储在本地计算机中的大量密码。 因为每个软件存储密码的方式不同(明文、API、自定义算法、数据库等。),该工具使用多种方法获取软件密码。目前,支持的软件如下 该工具由python开发,易于阅读和维护,因此本文尝试对其进行扩展,编写python脚本导出360速浏览器的密码,并介绍脚本开发过程的细节。 0x01 简介 本文将介绍以下内容: 解决LaZagne中的bug 开发脚本以导出360速浏览器密码 使用py2exe将python脚本转换成exe 使用PyInstaller将python脚本转换成exe 0x02 LaZagne中的bug LaZagne下载地址: https://github.com/AlessandroZ/LaZagne Python版本:2.7 下载\ laza gne-master \ laza gne-master \ windows \ laza gne . py后执行。 错误,缺少第三方扩展包pyasn1和psutil。 安装第三方扩展包: ` c:\ python 27 \ Scripts \ easy _ install . exe pyas n1 ` 1 ` c:\ python 27 \ Scripts \ easy _ install . exe psutil ` 再次执行\ laza gne-master \…
XenoG的最后回复, -
- 0 篇回复
- 108 次查看
0x00 前言 Mimikatz中的Mimilib(ssp)和misc:memssp具有与sekurlsa:wdigest相同的功能,它们可以从lsass进程中提取凭据,并且通常可以获取登录用户的明文密码(在Windows Server 2008 R2及更高版本的系统中默认无法获取)。但是实现原理不同,所以绕过高版本限制的方法也不同。 我研究了XPN的第二篇文章,对这项技术有了新的认识,所以我试着总结一下这项技术,补充一些个人的理解。 XPN的博客: https://blog.xpnsec.com/exploring-mimikatz-part-2/ 0x01 简介 本文将介绍以下内容: SSP简介 如何发展SSP 如何枚举和删除ssp 添加SSP的三种方式 memssp修改内存的方法 0x02 SSP简介 参考资料: https://docs . Microsoft . com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn 751052(v=ws . 11) SSP,安全支持提供程序的全名,也称为安全包 SSPI,全称安全支持提供者接口,是Windows系统用来执行身份验证操作的API。 简单理解就是SSPI是SSP的API接口。 默认情况下,SSP包括以下内容: Kerberos安全支持提供程序 NTLM安全支持提供商…
风尘剑心的最后回复, -
- 0 篇回复
- 89 次查看
0x00 前言 本文将要介绍在禁用元数据发布(墨西哥)时WCF开发的相关内容,给出文章《Abusing Insecure Windows Communication Foundation (WCF) Endpoints》 的完整代码示例。 0x01 简介 本文将要介绍以下内容: 禁用墨西哥实现WCF 文章完整代码示例 0x02 禁用MEX实现WCF 禁用墨西哥时,需要根据服务端的代码手动编写客户端代码 本节采用命令行实现WCF的方式作为示例 开发工具:Visual Studio 2015 1.服务端编写 (1)新建项目 选择控制台应用程序,名称为NBTServer (2)新建WCF服务 选择添加-新项目.选择WCF服务,名称为服务1.cs (3)修改service1.cs 添加道尔克的实现代码,代码示例: 命名空间NTBServer { 公共类服务1 : IService1 { public void DoWork() { 系统诊断。过程。开始('计算。exe’); } } } (4)修改Program.cs 添加引用系统。服务模型 添加启动代码,代码示例: 使用系统; 使用系统100 . service model 命名空间basicHttpBindingWCFServer { 班级计划 { 静态void Main(string[] ar…
轩辕三官的最后回复, -
- 0 篇回复
- 137 次查看
0x00 前言 之前的文章《域渗透——DCSync》提到了DCSync的使用条件: 从下列任何用户处获取权限: 管理员组中的用户 域管理员组中的用户 企业管理员组中的用户 域控制器的计算机帐户 本文将完成上一篇文章没有提到的最后一个利用方法,介绍如何通过域控制器的计算机帐户密码哈希实现DCSync。 0x01 简介 本文将介绍以下内容: 机器帐户简介 一种获取机器账户密码哈希的方法 使用MachineAccount实现DCSync 防御探测 0x02 MachineAccount简介 MachineAccount是每台计算机安装系统后默认生成的计算机帐户。 计算机帐户的密码存储在注册表中:HKLM \安全\策略\机密\ $机器. acc 如果计算机加入域,计算机帐户的密码将与域控制器同步,并保存在域控制器的NTDS.dit文件中。 默认情况下,计算机帐户的密码每30天自动更新一次,密码长度为120个字符。所以,即使获取了电脑账号密码的哈希,也很难还原电脑账号的明文密码。 关闭当前计算机帐户密码自动更新的两种方法(适用于工作组): 1.修改组策略 组策略位置: 计算机配置\Windows设置\安全设置\本地策略\安全选项\ 如下图 默认情况下不启用。如果设置为启用,它将停止更新密码。 参考资料: https://docs . Microsoft . com/en-us/先前版本/wi…
RenX6的最后回复, -
- 0 篇回复
- 89 次查看
0x00 前言 最近学了一个利用方法:在vCenter上使用管理员权限,从/storage/db/VMware-vmdir/data . MDB中提取IdP证书,为管理员用户创建SAML请求,最后使用vCenter server进行身份验证,获取有效的管理员cookie。 直观理解:从vCenter的本地管理员权限到VCSA管理面板的管理员访问权限。 学习材料: https://www . horizon 3 . ai/compromising-vcenter-via-SAML-certificates/ https://github.com/horizon3ai/vcenter_saml_login 本文将在学习资料的基础上,完善代码,增加通用性,并结合利用的思路给出防御建议。 0x01 简介 本文将介绍以下内容: 方法复制 脚本优化 利用理念 辩护建议 0x02 方法复现 在Kali系统下测试。 安装Openssl: apt安装python3-openssl 1.从vCenter获得数据库文件 路径:/storage/db/VMware-vmdir/data . MDB 需要vCenter的管理员权限。 2.运行脚本 下载地址: https://github . com/horizon 3 ai/vcenter _ SAML _ log in/blob/main/vcenter _ SAML _ log in . py…
HACK7YD的最后回复, -
- 0 篇回复
- 101 次查看
0x00 前言 知名恶意软件Poweliks利用后门技术,在注册表启动位置创建特殊的注册表键值,并通过mshta执行有效载荷。 对于这个特殊的注册表项,正常情况下是无法访问的。这是什么原理?如何读取、创建和删除?本文将一一介绍。 0x01 简介 本文将介绍以下内容: 如何隐藏注册表 隐藏注册表的实现 编程中应注意的问题 0x02 原理 注册表项名称是特殊构造的:它以“\0”开头,后跟任何字符(不是数字)。 对于Windows系统来说,“\0”(即0x0000)会被识别为字符串的终止符,所以在读取字符串的过程中遇到开头的“\0”时,会被解释为终止符并提前截断,导致读取错误。 要使用Native API设置注册表,需要使用OBJECT_ATTRIBUTES结构作为参数来指定读取字符串的长度。 只要长度设置正常,就可以读取正确的字符串,避免这个bug。 因此,我们可以通过Native API创建这个特殊的注册表名称。 更重要的是,像regedit.exe等对注册表的操作,通常会调用Win32 API,使得注册表不可读,从而实现所谓的“隐藏”。 综上所述,创建方法是:通过Native API创建一个以”\0”开头的键值 0x03 编写程序实现 注册表由Native API操作,参考的工程地址为: https://www . code project . com/Articles/14508/Registry-Manipulation-Usin…
cnhackteam7的最后回复, -
- 0 篇回复
- 108 次查看
0x00 前言 针对wyzzoo在《Password Filter DLL在渗透测试中的应用》文章中的回复,我想提请大家注意在较高版本系统上考虑的问题,地址如下: https://github . com/3g student/feedback/issues/13 # issue comment-371694931 于是我研究了这部分,并把它写成文字。 0x01 简介 本文将介绍以下内容: 如何配置额外的LSA保护 如何获得监测结果 补充一个密码过滤器DLL的使用思路 使用附加LSA保护的检测效果 0x02 配置额外的LSA保护 参考官方文件: https://docs . Microsoft . com/en-us/windows-server/security/credentials-protection-and-management/configuring-additional-LSA-protection Windows8.1系统启动,为LSA提供额外保护,防止未受保护的进程读取内存和代码注入。 保护方法: 要求加载到LSA的任何插件都要使用Microsoft signature进行数字签名。 具体来说,数字签名是指目录签名,签名需要满足WHQL认证。 参考资料: https://docs . Microsoft . com/zh-cn/windows-硬件/驱动程序/install/whql-release-signature …
Tenfk的最后回复,