WEB和服务器安全漏洞
黑客技术领域,包括内外部网络渗透、反向破解、网络木马病毒分析等。
1,239个主题在此版块
-
- 0 篇回复
- 73 次查看
0x00 前言 津布拉反序列化漏洞(CVE-2019-6980)适用于8.7.x至8.8.11的津布拉邮件服务器,是一个远程代码执行漏洞。 考虑到距补丁公开日期已经超过两年,并且没有一个完整的可用POC,所以本文将要在技术研究的角度记录测试过程,开源利用脚本,分享细节。 0x01 简介 本文将要介绍以下内容: 本地漏洞复现 实际利用分析 开源利用脚本 防御建议 0x02 本地漏洞复现 参考资料: https://博客。色调0。com/2019/03/a-saga-of-code-executions-on-zimbra。超文本标记语言 https://blog.csdn.net/fnmsd/article/details/89235589?UTM _ medium=分销。PC _相关。无-任务-博客-blogcommendfromachinelenpai 2-1。控制分配请求标识=1328603.11954。1614928993579653深度_ 1-UTM _源=分布。PC _相关。无-任务-博客-blogcommendfromachinelenpai 2-1。控制 (1)搭建环境 挑选符合漏洞版本的津布拉邮件服务器,下载地址: https://www。津布拉。com/downloads/zimbra-协作-开源/归档/ 具体搭建过程可参考其他资料 (2)创建用户 创建一个测试用户测试1,命令如下: /opt/zimbra/b…
Xiao7的最后回复, -
0x00 前言 以前的文章《从内存加载.NET程序集(execute-assembly)的利用分析》和《从内存加载.NET程序集(Assembly.Load)的利用分析》已经介绍了加载的方法。使用C Sharp从内存中调用. NET程序集。这一次,我们将更进一步,介绍使用C Sharp从内存加载PE文件的方法。 0x01 简介 本文将介绍以下内容: 实现原则 凯西史密斯的开源PELoader.cs 扩展PELoader.cs的方法 SharpPELoaderGenerater的实现细节 使用方法 0x02 内存加载PE文件的实现原理 实现原理如下: 读取PE文件并根据PE格式解析它。 内存应用程序,ImageBase作为内存基址,SizeOfImage作为长度 将PE文件头复制到内存中 解析该段的地址,并将该段复制到内存中。 基于重定位表修改内存 解析该表并加载所需的Dll。 跳转到AddressOfEntryPoint并执行PE文件。 0x03 Casey Smith开源的PELoader.cs 目前可供参考的地址: https://github . com/re4 lity/subTee-gits-backups/blob/master/peloader . cs 此代码可以使用中的csc.exe进行编译。NET 4.0以上。 按如下方式编译该命令: C:\Windows\Microsoft。NET …
剑道尘心的最后回复, -
- 0 篇回复
- 220 次查看
0x00 前言 在域渗透中,如果已经掌握了部分域用户的密码,通常会选择寻找密码规则,生成字典文件,尝试暴力破解其他域用户的密码。 从防御的角度来说,既要保证域用户不使用正规的弱密码,又要能够发现暴力破解域用户密码的行为。 本文将介绍域内外暴力破解域用户密码的常用方法,并结合利用思路介绍检测方法。 0x01 简介 本文将介绍以下内容: 一种通过域暴力破解域用户密码的方法 域外暴力破解域用户密码的方法 检测方法 0x02 暴力破解域用户口令需要注意的问题 多次密码输入错误会导致用户账号被锁定,默认错误号为5。 用户账号锁定后,默认需要30分钟才能恢复使用。 将记录最后一次密码输入错误的时间,这不能通过修改LDAP数据来清除。提示如下: 错误0x209A不允许访问该属性,因为该属性由安全帐户管理器(SAM)拥有。 用户账号被锁定后,即使输入了正确的密码,也会提示密码错误。 0x03 域内暴力破解域用户口令的方法 1.获得域内用户的口令策略,避免帐户被锁定 获取密码策略的详细方法请参考之前的文章《渗透基础——域内用户口令策略的获取》。 2.获得所有域用户的列表 详细获取方法请参考之前的文章《渗透基础——活动目录信息的获取》。 这里需要判断用户的属性,去除禁用和锁定的用户。 (1)识别被禁用的用户 标识用户是否被禁用的位置位于userAccountControl属性中,具体位置为0x0002。 如下图 参考资料: …
KaiWn的最后回复, -
- 0 篇回复
- 93 次查看
0x00 前言 在渗透测试中,经常联系Windows server的远程桌面服务,通过接口管理服务器。但是,对于常见的Windows系统,在某些情况下也需要界面操作。 虽然我们可以通过编写程序(抓取桌面信息、压缩传输、发送鼠标键盘消息等)来实现界面操作。),如果能使用远程桌面服务岂不是更方便高效? 那么,对应非服务器版本的Windows系统,使用远程桌面服务需要注意哪些问题呢?本文将对它们逐一进行分析和介绍。 0x01 简介 本文将介绍以下内容: 一种打开远程桌面的方法 使用mimikatz支持远程桌面多用户的原理 改进的想法 测试工具rdpwrap 0x02 开启远程桌面的方法 1、查询系统是否允许3389远程连接 REG QUERY ' HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ Terminal Server '/v fdenyts connections 1表示关闭,0表示打开。 要查看远程连接的端口: REG QUERY ' HKEY _ LOCAL _ MACHINE \ SYSTEM \ current Control set \ Control \ Terminal Server \ win stations \ RDP-Tcp '/v端口号 端口格式为十六进制,如下图所示 0xd3d转换成十进制的33389。 2、本机开启3389远…
CHQ1d的最后回复, -
- 0 篇回复
- 110 次查看
0x00 前言 Outlook MAPI提供了一组访问观点的接口,用来扩展观点应用程序的开发,本文将会介绍Outlook MAPI的基本用法,开源一份Outlook MAPI的实现代码mapi_tool,便于后续的二次开发。 0x01 简介 本文将要介绍以下内容: 基本知识 使用Outlook MAPI访问观点资源 开源代码mapi _工具 mapi _工具功能介绍 多种环境下的利用思路 0x02 基本知识 参考资料: https://份文件。微软。com/en-us/office/客户端开发人员/outlook/mapi/outlook-mapi-参考 Outlook MAPI的使用前提:需要安装观点客户端 Outlook MAPI同EWS的区别: Outlook MAPI用来访问观点客户端中的资源 EWS用来访问交换服务器中的资源 关于EWS的使用可以参考之前的文章《Exchange Web Service(EWS)开发指南》 观点客户端中的用户邮件存储在后缀名为原声音乐的文件中,和交换服务器中的数据库保持一致 原声音乐文件的默认保存位置:% local appdata % \ Microsoft \ Outlook \ 邮件应用程式接口(邮件应用程序编程接口)主要包括以下三个功能: 通讯簿,设置电子邮件类型、协议等参数 运输,文件的发送和接收 消息存储,发送接收等信息的处理 0x03 使用Outl…
Anonymous的最后回复, -
.thumb.jpg.efe932f5496dec4b6be0a5bdbb70a948.jpg)
- 0 篇回复
- 84 次查看
0x00 前言 AdminSDHolder是一个特殊的AD容器,具有一些默认的安全权限,用作受保护的AD帐户和组的模板。 Active Directory将采用AdminSDHolder对象的ACL,并定期将其应用于所有受保护的AD帐户和组,以防止意外和无意的修改,并确保对这些对象的访问是安全的。 如果您可以修改AdminSDHolder对象的ACL,修改后的权限将自动应用于所有受保护的AD帐户和组,这可以用作在域环境中维护权限的方法。 本文将参考公开资料,结合自己的理解,介绍ACL的使用、填写和清除方法,并分析检测方法。 0x01 简介 本文将介绍以下内容: 利用理念 如何枚举受保护的AD帐户和组中的信息 如何查询AdminSDHolder对象的ACL 如何向AdminSDHolder对象添加ACL 删除AdminSDHolder中指定用户的ACL 完全利用法 测试建议 0x02 利用思路 1.枚举受保护的AD账户和组中的信息 通常,在域中具有高权限的用户包括my Server2008R2下的以下组: 管理员 打印操作员 备份操作员 复制器 域控制器 架构管理员 企业管理员 域管理员 服务器操作员 帐户操作员 只读域控制器 组织管理 Exchange可信子系统 2.向AdminSDHolder对象添加ACL 例如,如果将用户testa的完全管理权限添加到AdminSD…
XenoG的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 在渗透测试中,远程桌面连接的历史是不可忽略的,根据历史往往可以定位到关键服务器。 前几天有一篇关于如何清除记录的文章,所以这篇文章将介绍如何导出历史记录。 记录的文章地址如下: http://woshub.com/how-to-clear-rdp-connections-history/#h2_3 最初的假设是可以通过枚举注册表来实现。但是深入研究发现,如果想要获取所有用户的历史记录,就需要获取用户的NTUSER。DAT文件,通过注册表加载hive,导入用户配置信息,然后枚举。 0x01 简介 本文将介绍以下内容: 关于获取史料的思考 导出已登录用户的历史记录。 导出所有用户的历史记录 两种方法的实现思路和脚本编写细节。 0x02 获得远程桌面连接历史记录的思路 1、获得当前用户的历史记录: 枚举注册表项hkcu:\ software \ Microsoft \ terminal server client \ servers 每个注册表项存储连接的服务器地址,键值UsernameHint对应于登录用户名。 如下图 2、获得已登录用户的历史记录: 登录用户的注册表信息会同步保存在HKEY _用户\SID下,SID要对应每个用户的SID。 目前,系统以两个子项目登录两个用户,如下图所示。 注: HKEY _用户只包含默认用户设置和已登录用户的信息,用户未登录时用户设置不可用。 也就是说,如果当前有…
风尘剑心的最后回复, -
- 0 篇回复
- 106 次查看
0x00 前言 Shay Ber公开的一种利用方法,在域环境下,使用DNSAdmin权限可以实现在DNS服务器上远程加载Dll。这不是漏洞,但可以作为域渗透技能。本文将根据自己的经验对这个利用技巧进行梳理,补充自己的理解,并根据利用思路给出防御建议。 参考资料: https://medium . com/@ esnesenon/feature-not-bug-dnsadmin-to-DC-compromise-in-one-line-a0f 779 b 8dc 83 0x01 简介 本文将介绍以下内容: 详细利用方法 防御思维 0x02 详细利用方法 利用条件: 获取域中DnsAdmins、Domain Admins或Enterprise Admins组中用户的密码或哈希。 注: 默认情况下,不仅可以配置DnsAdmins组中的用户,还可以配置域管理员或企业管理员组中的用户。 1、查看关键组内的用户 查看所有组: 网络组/域 要查看DnsAdmins组中的用户: 不能用net group命令查看,但可以用PowerView查看。 导入模块。\PowerView.ps1 get-net group member-group name ' DNS admins ' 要查看域管理员组中的用户: 网络组“域管理员”/域 要查看企业管理员组中的用户: 网络组“企业管理员”/域 2、获得关键用户的口令或者hash 您…
轩辕三官的最后回复, -
- 0 篇回复
- 118 次查看
0x00 前言 最近一直在思考这个问题: Windows server已打开IIS服务,防火墙只允许端口80或443通信。那么如何在不使用webshell的情况下远程管理这个服务器呢?再者,如果只有低权限,有什么办法? 0x01 简介 本文将介绍以下内容: HTTP.sys和端口共享 WinRM服务 HTTP服务器API 80和443端口的利用方法 高权限和低权限的使用方法 检测方法 0x02 基本概念 1.HTTP.sys和端口共享 微软在Windows 2003 Server中增加了一个内核驱动(Http.sys),用来监听Http流量,并根据URL进行处理,允许任何用户进程共享专用于http流量的TCP端口。 也就是说,通过HTTP.sys,多个进程将能够侦听同一端口上的HTTP流量。 可以使用Netsh命令来查询和配置HTTP.sys设置和参数。请参阅以下资源: https://docs . Microsoft . com/en-us/windows/win32/http/netsh-commands-for-http 使用以下命令列出所有URL的DACL: netsh http show urlacl 默认情况下,系统包括10个DACL,其中两个对应于WinRM服务。详情如下: 保留网址:http://:5985/wsman/ 用户:NT服务\WinRM 听着:是的 代表:没有 用户:NT服务\…
HACK7YD的最后回复, -
- 0 篇回复
- 80 次查看
0x00 前言 在之前的文章《vSphere开发指南1——vSphere Automation API》 和《vSphere开发指南2——vSphere Web Services API》 分别介绍了通过虚拟空间自动化应用程序接口和vSphere Web服务应用程序接口实现vCenter Server同虚拟机交互的方法,本文将要介绍通过PowerCLI实现vCenter Server同虚拟机交互的方法 0x01 简介 本文将要介绍以下内容: PowerCLI的安装配置 PowerCLI命令 升c调调用PowerCLI的方法 0x02 PowerCLI的安装配置 PowerCLI是用于管理VMware基础架构的PowerShell模块的集合,之前被称作五工具包(Windows版) 官方文档: https://developer.vmware.com/powercli 1.PowerCLI的安装 (1)在线安装 PowerShell版本最低需要满足PowerShell 5.0 安装命令: 安装模块名称VMware .PowerCLI (2)离线安装 下载PowerCLI的活力文件,地址如下: https://code.vmware.com/doc/preview?id=13693 获得PowerShell模块的路径,Powershell命令如下: $env:PSModulePath 默认可用的一个位置:C:\ Program …
cnhackteam7的最后回复, -
- 0 篇回复
- 88 次查看
0x00 前言 在上篇文章《Authenticode签名伪造——PE文件的签名伪造与签名验证劫持》 介绍了针对单一文件的验证码签名伪造,需要在文件尾部添加伪造的签名数据,这次将介绍另一种签名伪造方式:通过修改系统的签名获取机制,欺骗系统将正常文件识别为包含签名数据。 注: 本文介绍的技巧参考自matt Graeber @ matti festigation公开的资料,本文将结合自己的经验,整理相关内容,添加个人理解。 参考资料: 幽灵特工队https://号。io/assets/resources/specter ops _ revising _ Trust _ in _ windows。可移植文档格式文件的扩展名(portable document format的缩写) http://www。剥削-星期一。com/2017/08/真实ode-signals的应用。超文本标记语言 https://号车道。谷歌。com/file/d/0 b-k 55 rloulafnms S1 aw 1 rbx f1 TMC/view 0x01 简介 本文将要介绍以下内容: 针对powershell脚本的签名伪造方法 针对体育课文件的签名伪造方法 针对其他类型文件的签名伪造方法 添加代码实现对特定文件的签名伪造 0x02 针对powershell脚本的签名伪造方法 前提是powershell脚本需要包含一个签名(自己生成的签名会被识别为无效),下面介绍如何将该无效签名伪…
Tenfk的最后回复, -
.thumb.jpg.26764a69083eb4469b6d18365588b559.jpg)
- 0 篇回复
- 129 次查看
0x00 前言 最近在凯西smith@分包商的推特上学到了关于certutil的一些利用技巧。本文将结合自己的一些经验,介绍certutil在渗透测试中的应用,对煤矿管理局下下载器的实现方法作补充,总结base64编码转换的常用方法。 学习地址: https://twitter.com/subTee/status/888101536475344896 https://twitter.com/subTee/status/888071631528235010 0x01 简介 本文将要介绍以下内容: certutil.exe在渗透测试中的应用 下载器常用方法 base64编码转换常用方法 0x02 certutil简介 用于证书管理 支持xp-win10 更多操作说明见https://TechNet。微软。com/zh-cn/library/cc 755341(v=ws。10)。aspx 注: 在之前的文章《域渗透——EFS文件解密》 有用过certutil.exe导入证书 0x03 渗透测试中的应用 1、downloader (1) 保存在当前路径,文件名称同统一资源定位器 例如: certutil.exe-URL缓存-split-f https://raw。githubusercontent。com/3g学生/测试/硕士/版本。文本文件(textfile) (2) 保存在当前路径,指定保存文件名称 例如: cer…
尖REN的最后回复, -
- 0 篇回复
- 84 次查看
0x00 前言 最近学了一个odzhan文章里介绍的技巧。使用C:\ windows \ system32 \ comsvcs.dll的导出函数MiniDump,我可以转储指定进程的内存文件。 文章地址: https://mode XP . WordPress . com/2019/08/30/minidumpwritedump-via-com-services-dll/ 本文将结合自己的经验,补充测试过程中的注意点,拓展方法,分析利用思路。写powershell脚本自动扫描系统目录下所有dll的导出函数,检查是否还有其他可用的dll,并介绍脚本实现的细节。 0x01 简介 本文将介绍以下内容: 转储指定了处理内存文件的常用方法。 用comsvcs.dll实现转储指定进程内存文件的方法 写脚本实现自动扫描dll的导出功能 利用率分析 0x02 dump指定进程内存文件的常用方法 在渗透测试中,最常用的方法是通过转储过程的lsass.exe获得明文密码和哈希。 原则上使用API MiniDumpWriteDump。参考: https://docs . Microsoft . com/en-us/windows/win32/API/minidumpapiset/nf-minidumpapiset-minidumpwritedump 的常见实现方法如下: 1.procdump 参数如下: procdump.exe-accept EULA-ma l…
Xiao7的最后回复, -
- 0 篇回复
- 84 次查看
0x00 前言 最近看到rvrsh3ll@424f424f的一篇文章《Bypassing Windows Attachment Manager》,介绍了他绕过Windows附件管理器的想法。非常有趣。 我恰好对本文涉及的ADS和lnk文件的利用做了一些研究。所以基于我的经验,本文将介绍旁路方法,分享我在实际测试过程中发现的一个有趣的问题。 相关文章地址如下: 《Bypassing Windows Attachment Manager》 : http://www . rvr sh3 ll . net/blog/informational/bypassing-windows-attachment-manager/ 我以前的一些研究经历: 《渗透技巧——快捷方式文件的参数隐藏技巧》 《Hidden Alternative Data Streams的进阶利用技巧》 0x01 简介 本文将介绍以下内容: Windows附件管理员角色 Windows附件管理器的实现 绕过Windows附件管理器的方法 专项档案建设 实际测试过程中发现的有趣问题 0x02 Windows Attachment Manager 简介 自WinXp SP2版以来微软推出的新功能 用于防止文件从不受信任的渠道下载,可以直接执行。 不可信的渠道包括电子邮件和互联网下载。 如果发现文件来自不可信途径,文件打开时会弹出一个框提示用户,需要用户确认后才能执行,如图。…
剑道尘心的最后回复, -
- 0 篇回复
- 100 次查看
0x00 前言 最近,我在詹姆斯forshaw's的博客中学习了一个在Win10下绕过UAC的技巧。这种方法是通过脚本实现的,微软尚未修复这种绕过方法(预计在Win10 RS3中修复)。经过我的学习和测试,这个方法也适用于Win8,文中介绍的旁路思路也值得借鉴,我就写成文字和大家分享。 文章地址如下: https://tyranidslair . blogspot . co . uk/2017/05/exploining-environment-variables-in . html 0x01 简介 本文将介绍以下内容: 绕过思路 使用方法 防御探测 0x02 绕过思路 在以前的文章中,我也分享了一些绕过UAC的经验。请参考以下文章: https://3g student . github . io/Study-Notes-of-use-SD CLT . exe-to-bypass-UAC https://3g student . github . io/Study-Notes-Weekly-no . 1(Monitor-WMI _ ExportsToC _ Use-disk clean up-bypass-UAC) 人们认为,个人寻找绕过UAC的方法可以分为以下两步: 1.寻找访问控制不严的程序。 它通常具有以下特征: 以普通用户权限启动程序。 默认情况下,程序以高特权启动,通常标记为最高。 2.这个程序的启动过程可以被劫持吗? …
KaiWn的最后回复, -
- 0 篇回复
- 81 次查看
0x00 前言 最近APT34的6个工具被泄露。本文仅从技术角度分析PoisonFrog和惊鸿一瞥。 参考资料: https://malware-research.org/apt34-hacking-tools-leak/amp/ 0x01 简介 本文将介绍以下内容: 毒死蜱的分析 《惊鸿一瞥》分析 总结 0x02 对PoisonFrog的分析 对应泄露文件的名字是posion frog。 它由两部分组成: Agent包含文件poisonfrog.ps1,是通过powershell实现的特洛伊木马程序。 服务器端,对应木马控制终端,使用Node.js开发 1、agent实现的功能 1. 在%public%\Public文件夹下释放三个文件 dUpdater.ps1 hUpdater.ps1 更新任务. vbs 发布文件的具体功能如下: (1)dUpdater.ps1 生成当前系统的专有标志。 读取当前系统的代理设置。 通过HTTP协议从c2服务器下载文件 根据下载文件的内容进行下一步,包括执行命令、上传文件和下载文件。 (2)hUpdater.ps1 生成当前计算机的专有标志。 创建以下文件夹 %公共% \公共 % public % \ Public \ reveivebox %public%\Public\sendbox % public % \ Public …
CHQ1d的最后回复, -
- 0 篇回复
- 78 次查看
0x00 前言 在后渗透阶段,需要在获得权限后收集目标系统的信息。信息越全面,越有利于进一步渗透。 对于Windows系统,凭据管理器包含非常重要的信息。 它包含什么样的信息,获取的方法有哪些?本文将一一介绍。 0x01 简介 本文将介绍以下内容: 凭据管理器中不同类型的凭据 不同凭证的明文密码获取方法 实物试验 0x02 Credential Manager简介 凭据管理器,从中文翻译为凭据管理器,用于存储凭据(例如,用于网站登录和主机远程连接的用户名和密码)。 如果用户选择存储凭证,那么当用户再次使用相应操作时,系统会自动填写凭证,实现自动登录。 凭据存储在名为vault的特定位置(位于%localappdata%/Microsoft\Vault中) 凭据类别: 有两种类型,即域凭据和通用凭据。 Domain Credentials: 只有本地安全机构(LSA)可以读写它。 也就是说,普通权限无法读取域凭据类型的纯文本密码。 Generic Credentials: 可以被用户进程读写。 也就是说,普通权限可以读取普通凭据类型的明文密码。 参考资料: https://msdn.microsoft.com/en-us/library/aa380517.aspx 0x03 实际测试 测试1: 测试系统:Win7 访问文件共享\\192.168.62.130 如下图 填写正确的用户名…
Anonymous的最后回复, -
- 0 篇回复
- 130 次查看
0x00 前言 Outlook Access的缩写是OWA,它是Exchange用来在Web上发送和接收电子邮件的界面。默认情况下,它对所有邮箱用户开放。 通常,我们使用浏览器访问OWA和阅读邮件。但是从渗透测试的角度来说,我们需要通过命令行来实现同样的功能。 目前看不到合适的开源代码和参考资料,打算根据自己的理解写Python代码,实现阅读邮件和下载附件的功能。 0x01 简介 本文将介绍以下内容: 实现理念 实施细节 编程中应注意的问题 开放源代码 使用流程 0x02 实现思路 我暂时没有找到任何关于OWA协议格式的资料,所以只能通过捕获数据包来实现。 这里我用的是Chrome浏览器自带的包捕获工具,在Chrome界面只需按F12选择网络。 0x03 实现细节 1.登录操作 的访问url是https:///OWA/auth.owa 发送发布请求,数据格式: destination=https:///OWA flags=4 forcedownlevel=0 username=password=password text=ISU TF 8=1 成功登录后,Cookie中包含X-OWA-金丝雀,可以作为判断依据。 在实际登录过程中,总共发送了三个数据包,如下图所示 在程序实现方面,使用Python的requests库不需要考虑这个细节。 的完整实现代码已上传至github,地址如下: https://git…
XenoG的最后回复, -
0x00 前言 2016年10月,网络安全公司EnSilo的研究团队公开了一种支持所有Windows系统的代码注入方法,并将其命名为AtomBombing。据说这种方法可以绕过大部分安全软件,使用的系统缺陷很难修复。 因此,本文将根据开源代码和材料、学习原理、测试功能,分析使用思路,总结防御方法。 学习材料: https://blog . en silo . com/atom bombling-brand-new-code-injection-for-windows 作者塔尔利伯曼 概念验证: https://github.com/BreakingMalwareResearch/atom-bombing/ 0x01 简介 本文将介绍以下内容: 原子弹轰炸实施方法 关键技术 防御思维 0x02 基础知识 1、Atom Table 是系统定义的表,存储字符串和相应的标识符。 应用程序将一个字符串放入一个Atom表中,接收一个16位的整数(字)作为标识符(称为Atom),可以访问字符串内容,实现进程间的数据交换。 分类: (1)全局原子表 所有应用程序都可用。 当进程将一个字符串保存到全局原子表中时,系统会在系统中生成一个唯一的原子来标记该字符串。系统中的所有进程都可以通过这个atom (index)得到这个字符串,从而实现进程间的数据交换。 (2)局部原子表 只有当前程序可用,相当于定义了一个全局变量。如果程序多次使用该…
风尘剑心的最后回复, -
- 0 篇回复
- 76 次查看
0x00 前言 在上篇文章《渗透技巧——Windows下NTFS文件的时间属性》 介绍了修改windows操作系统文件系统(NT文件系统)文件时间属性的方法和细节,以及取证上的建议。 本文将要继续研究windows操作系统文件系统(NT文件系统)文件另一处记录文件修改时间的位置——美国海军杂志,同样是分析利用思路,给出取证上的建议。 0x01 简介 本文将要介绍以下内容: 基本概念 读取美国海军杂志的方法 利用思路 取证建议 0x02 USN Journal的基本概念 官方文档: https://份文件。微软。com/en-us/previous-versions/windows/it-pro/windows-2000-server/bb 742450(v=TechNet。10) 美国海军日志(更新序列号日志),也称作更改日志,用来记录Windows NT文件系统(NT File System)卷中文件修改的信息,能够提高搜索文件的效率 每个Windows NT文件系统(NT File System)卷对应一个美国海军杂志,存储在Windows NT文件系统(NT File System)图元文件的$Extend\$UsnJrnl中,也就是说,不同的Windows NT文件系统(NT File System)卷对应的美国海军杂志不同 美国海军杂志会记录文件和目录的创建、删除、修改、重命名和加解密操作,每条记录的格式如下: typedef结构{ D…
轩辕三官的最后回复,