2023年12月5日

远程打印机漏洞复现

摘要: CVE-2021-1675复现 复现用例参考: C++用例:https://github.com/hayasec/PrintNightmare python用例:https://github.com/cube0x0/CVE-2021-1675 该漏洞发生在AddPrinterDriverEx函数,当 阅读全文

posted @ 2023-12-05 00:24 ciyze0101 阅读(0) 评论(0) 推荐(0) 编辑

2023年3月9日

使用AMSI监控powershell

摘要: 一、AMSI原理 amsi(Windows Antimalware Scan Interface )是win10上微软引入的针对脚本检测的能力,可以检测阻断恶意powershell、js、vbs、vba等脚本 https://learn.microsoft.com/en-us/windows/win 阅读全文

posted @ 2023-03-09 23:33 ciyze0101 阅读(0) 评论(0) 推荐(0) 编辑

2022年11月17日

卷影删除小结

摘要: 一、几种系统方式卷影删除 1.1 WMIC cmd.exe /c C:\\Windows\\System32\\wbem\\WMIC.exe shadowcopy where \"ID='%s'\" delete 1.2 VSSADMIN vssadmin Delete Shadow /all 1. 阅读全文

posted @ 2022-11-17 23:46 ciyze0101 阅读(147) 评论(0) 推荐(0) 编辑

2022年10月25日

使用sysmon事件映射ATT&CK

摘要: 一、前言 ATT&CK是攻击战术和技术的知识库,安全厂商基本都会将能力对标ATT&CK矩阵,具体可以参考 https://attack.mitre.org/matrices/enterprise/ ,本文就通过sysmon捕获windows上行为,并根据开源映射配置对sysmon数据在splunk上 阅读全文

posted @ 2022-10-25 00:08 ciyze0101 阅读(263) 评论(0) 推荐(0) 编辑

2022年3月2日

blackhat议题"通过RPC防火墙拦截横向渗透"

摘要: 0x01 前言 介绍一款blackhat上演讲的横向渗透防护方式,作者的github地址为:https://github.com/zeronetworks/rpcfirewall 0x02 什么是RPC? RPC是指远程过程调用,允许客户端调用服务端上的函数,客户端和服务端可以在一个机器上的,也可以 阅读全文

posted @ 2022-03-02 23:52 ciyze0101 阅读(105) 评论(0) 推荐(0) 编辑

2022年1月25日

远程注入BOF

摘要: 0x01 背景 Beacon Object File(BOF) 从Cobalt Strike4.1开始所添加的新功能,可以加载运行obj File,也就是编译后但未链接的目标文件。obj链接过后就会变成PE文件或其他格式的本机程序。这个BOF和shellcode执行类似,只是需要自己修复下文件格式, 阅读全文

posted @ 2022-01-25 22:48 ciyze0101 阅读(369) 评论(0) 推荐(0) 编辑

2022年1月19日

使用Microsoft-Windows-RPC监控横向渗透

摘要: 0x01、背景 在局域网横向渗透中,像远程服务、远程计划任务、远程注册表、远程DCOM等方式攻击,都会通过Windows RPC协议来进行远程调用,而windows的ETW中正好有Microsoft-Windows-RPC这个etw监控点,本文就是通过Microsoft-Windows-RPC这个e 阅读全文

posted @ 2022-01-19 20:56 ciyze0101 阅读(1939) 评论(0) 推荐(0) 编辑

2021年11月28日

使用wazuh搭建安全监控平台

摘要: 一、前言 一直在搞windows端安全,后台相关都是同事在处理,想着自己搭建部署一下安全监控平台,发现开源的wazuh,于是尝试进行搭建,初步的后台部分直接使用的镜像搭建,后面在对内部架构、原理进行深入学习 二、后台部署 Wazuh的github为:https://github.com/wazuh/ 阅读全文

posted @ 2021-11-28 00:21 ciyze0101 阅读(1405) 评论(0) 推荐(0) 编辑

2021年11月14日

windows server 2012 R2 部署AD域服务

摘要: 一、部署AD域控制器 首先,我们检查第一台已经安装Windows Server 2012 R2的服务网络的相关配置,确定的服务器IP地址、子网掩码、默认网关的参数如下,由于该服务器既要充当ADDC角色,又要充当网络的DNS角色 ,所以“首先DNS服务器”中配置的IP地址输入它自己的IP地址,即192 阅读全文

posted @ 2021-11-14 20:39 ciyze0101 阅读(697) 评论(0) 推荐(0) 编辑

常用BypassUAC和GetSystem备忘

摘要: 一、 白名单机制UAC绕过 1.1 Invoke-WScriptBypassUAC(wusa绕过),支持win7,参考https://github.com/Vozzie/uacscript //1. 判断操作系统是否为WIN7,是否为普通权限 //2. Temp目录释放文件wscript.exe.m 阅读全文

posted @ 2021-11-14 20:23 ciyze0101 阅读(93) 评论(0) 推荐(0) 编辑

导航