我国电脑用户当中,使用盗版软件是非常普遍的现象,从盗版的 Windows 系统到各种收费软件的“破解版”等等。

互联网上也充斥着各种帮助用户使用盗版的“激活工具”、“破解工具”,投其所好地帮助用户使用盗版软件。但是“天下没有免费的午餐”,除了一部分破解爱好者提供的无害的免费激活工具之外,病毒制造者也瞄准了盗版人群,他们利用提供激活工具的机会,将恶性病毒植入用户电脑。

对github上某一知名的C#工程作细微改动并推荐用户下载，用户在毫不知情的情况下往往会在查看源代码后选择编译文件，然而在编译的过程中，会隐蔽执行代码，获得用户的主机权限，细极思恐。演示如下：

随着OSX使用者越来越多，针对OSX的攻击也越来越多。前不久，Empire团队又推出一个新的攻击框架，针对于OSX的攻击框架Empyre，此框架由Python建立在密码学基础上编写，使用过Empire的同学对此框架应该能很快上手，此文将对Empyre框架的使用方式做一下简单的的介绍。

前一段时间学习一小部分内网的小笔记，http://zone.wooyun.org/content/26415

结果没想到好像还是比较受欢迎，也是第一次被劈雷。最近办比赛遇上了rookit种植，感觉很无奈，所以自己也就研究了一下，内容都是一些以前的技术，也是为下面的笔记再次增加一章(windows下的域权限维持可以多看看三好学生师傅的文章)。大牛飘过。

360天眼实验室追日团队持续发现与跟踪APT活动，相关的样本、IP、域名等数据只要一出现就会立即进入我们的视线。5月10日VirusTotal上有人提交了一个样本，安博士标记为DarkHotel相关。

人在做，天在看。

勒索软件，飘荡在互联网上越来越浓的一片片乌云，从中爆发出的闪电随时可能击中一般的用户。基于比特币的匿名支持体系使勒索软件这个商业模式轻松完成了闭环，各种数字绑票生意开始蓬勃兴起，而Locky勒索软件家族可能是其中最贪婪粗放的一个，漫天撒网以期最大范围地捞取不义之财。

最近学习了lcx提供的资料《利用wsc来做一个asp后门》，在了解了wsc文件的一些特性后，产生了一个有趣的想法：

如果将其与JSRAT和WMI Backdoor相结合，那将会有多大的威力呢？

本文主要是从工业控制网络必备的组件 PLC （可编程控制器）出发，阐明了一种新型后门的实现。本文主要内容是来自 BLACK HAT 2015 上柏林自由大学 scadacs 团队发表的演讲，这是他们的paper原文Internet-facing PLCs - A New Back Orifice。我会滤掉他们论文凑字数的部分，并在他们给出的核心思路上增加一些实现方面的具体技巧和资料。

常言道，出来混总是要还的，看了乌云知识库的《网络小黑揭秘系列之黑产江湖黑吃黑 ——中国菜刀的隐形把手》一文，表示很震惊，网络竟然是如此的不安全，无聊之下花了一周时间来调查360所说的“从公开的whois信息显示，该域名注册邮箱为root90sec@gmail.com，同时，该邮箱同时还有注册“maicaidao.me”这个域名。安全圈的朋友们一看这个邮箱，应该并不陌生，没错这个邮箱的主人正是某sec组织的成员之一，接下来的我们就不多说了，有兴趣的可以自己去挖挖。”

黑产乃法外之地，被丛林法则所支配。没有了第三方强制力量的保障和监督，在那个圈子里我们可以看到两个极端：想做大生意的往往极重信誉，而那些只想捞一票就走的则会肆无忌惮地黑吃黑。

2015年12月中，360天眼实验室发布了“网络小黑揭秘系列之黑色SEO初探”，简单揭露了下网络上的黑色SEO活动，同时也提到了很多黑客工具中带有后门，其中就包括了某些使用面非常广的工具。没错，这回我们的主角是小黑们最喜闻乐见的中国菜刀。

众所周知，每时每刻，世界上的web服务器都在遭到成千上万次恶意请求的攻击，攻击形式也是各有不同。今天，我研究的就是其中的一类：webshell。

Managed Object Format (MOF)是WMI数据库中类和类实例的原始保存形式。具体介绍可以阅读《WMI 的攻击，防御与取证分析技术之防御篇》，Windows 管理规范 (WMI) 提供了以下三种方法编译到WMI存储库的托管对象格式 (MOF) 文件：

之前@三好学生的文章JavaScript BackDoor中提到了利用rundll32.exe执行一段JavaScript代码即可反弹一个Http Shell，这里将之前看到的对其原理进行分析的文章翻译和大家分享。

通俗地说，“后门”通常是计算机犯罪分子在首次攻陷系统之后留下的一个程序代码，以便于将来再次访问该系统。

但是，后门还可以是故意安插在软件项目中的安全漏洞，以便于攻击者将来通过它来控制你的系统。下面，我们就专门来讨论一下第二种情形。

看到wooyun知识库上众多大神的精彩文章，深感自身LOW到爆，故苦思冥想找来一个题目，主要求邀请码一枚，以便以后继续学习。

对于网络维护人员来说，恐怕最头痛的就是网站被黑，还留下了后门，甚至连服务器都被提权。而Hacker通常在相对不易引人注目的地方留下后门。逐个排查感觉很吃力，那么，本文姑且探讨一下在PHP环境下的Webshell自动检测的可行方案。