/ 2015-11-26
WSUS是Windows Server Update Services的简称。利用这个windows服务,管理员只需要保证局域网中的一台主机能够连接到MicroSoftUpdate服务器,就能实现内网中所所有主机快速地进行windows更新。
简而言之,内网中的WSUS服务器就是windows官方更新服务器的代理。WSUS服务器通过互联网取得官方的windows update,并且缓存到本地。管理员只需要在wsus上选择哪些补丁需要更新,就能通过HTTP/HTTPS协议快速地将各种ms-2015-**|||部署到内网中的其他服务器中去,这样即使是由于种种原因不能暴露在英特网中的内网主机(比如oracle数据库服务器)也能通过WSUS及时下载补丁,大大增加了内网的安全性,实现了细粒化管理。所以很多中大型网络都会部署wsus服务器来实现内网安全加固。
/ 2015-11-13
在域渗透中,有关域内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧。
/ 2015-11-09
近日,FireEye 安全公司的高级逆向工程团队(FLARE)发布了一份标题为《 WMI 攻击,防御与取证分析技术 》的 PDF 文档,该文档页数多达 90 页,文档内容主要从攻击,防御和取证分析这三个角度分篇对 WMI 技术做了详细的描述。其中不乏有很多值得学习思考的地方。于是,我利用业余时间翻译整理了此文档,拿出来与大家共分享 :),如有纰漏,望各位不吝赐教。
/ 2015-11-05
最近安全界关注的焦点WormHole是一类不安全的开发习惯所导致的,在PC上类似问题也毫不罕见,只不过很多风险被微软默认自带的防火墙缓解了。希望本文和众多关于WormHole的讨论能获多或少地提高一些开发人员的安全意识。
下面要介绍的问题可导致的后果和WormHole非常类似:影响上亿用户、访问一个端口发送一条指令就可以让目标系统下载一个程序并执行。
/ 2015-11-04
之前在《导出当前域内所有用户hash的技术整理》中测试了5种导出域内所有用户hash的方法,经过这一段时间的学习和实践,找到了新的方法,也很有效,分享给大家。
/ 2015-10-27
近日,FireEye 安全公司的高级逆向工程团队(FLARE)发布了一份标题为《 WMI 攻击,防御与取证分析技术 》的 PDF 文档,该文档页数多达 90 页,文档内容主要从攻击,防御和取证分析这三个角度分篇对 WMI 技术做了详细的描述。其中不乏有很多值得学习思考的地方。于是,我利用业余时间翻译整理了此文档,拿出来与大家共分享 :),如有纰漏,望各位不吝赐教。
/ 2015-10-19
今年4月份微软修补了一个名为CVE-2015-1641的word类型混淆漏洞,攻击者可以构造嵌入了docx的rtf文档进行攻击。word在解析docx文档处理displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标签对象进行处理,造成类型混淆,导致任意内存写入,最终经过精心构造的标签以及对应的属性值可以造成远程任意代码执行。
/ 2015-10-10
本文将会讲解在获取到域控权限后如何利用DSRM密码同步将域管权限持久化。 不是科普文,废话不多说。环境说明:
/ 2015-10-08
subTee在博客中不仅介绍了如何利用InstallUtil.exe直接执行pe文件,还提到了另一种利用方式——利用InstallUtil执行shellcode从subTee分享的代码可以看出其测试环境为64位、.net4.0环境,在360安全播报上发表的文章也认为执行环境必须是.net4.0以上,适用范围很窄但我并不这么认为
/ 2015-10-02
那篇文章中有UPX脱壳笔记,tElock脱壳笔记,PEncrypt脱壳笔记.但是我认为应该详细介绍八大法脱壳。因为他提到的所有这种脱壳笔记,都是利用八大法脱的!每一种壳都可以用很多种方法来脱掉,所以应该介绍的应该是脱壳大法,而不是xxx壳应该用xxx方法来脱,授人以鱼不如授人以渔。SO,有了这篇教程~
/ 2015-09-23
此次XcodeGhost病毒并不仅仅只篡改Xcode的dmg安装文件,百度安全实验室发现Unity3D也同样被插入了恶意代码。Unity是由Unity Technologies开发的用于创建诸如三维视频游戏、实时三维动画等类型互动内容的多平台的综合型游戏开发工具,Unity可发布游戏至Windows、OS X、Wii、iPhone、Windows phone 8和Android平台。但目前安全实验室搜集到的样本只有感染iOS app,还未发现感染安卓或是Windows平台代码
/ 2015-09-21
UAC(User Account Control,用户帐户控制)是微软为提高系统安全而在Windows Vista中引入的新技术,它要求用户在执行可能会影响计算机运行的操作或执行更改影响其他用户的设置的操作之前,提供权限或管理员密码。也就是说一旦用户允许启动的应用程序通过UAC验证,那么这个程序也就有了管理员权限。如果我们通过某种方式劫持了通过用户UAC验证的程序,那么相应的我们的程序也就实现了提权的过程。
/ 2015-09-17
Symbolic Link是微软Windows系统上一项关键机制,从Windows NT3.1开始引入对象和注册表Symbolic Link后,微软从Windows2000开始也引入了NTFS Mount Point和Directory Juntions,这些机制对于熟悉Windows内部机理的技术人员并不陌生,在著名的Windows Internals系列中,也有介绍这些机制。在过去,安全人员利用Symbolic Link来攻击系统安全机制或安全软件,也并不少见。
/ 2015-09-11
众所周知,procdump可以获得进程的内存dump文件 最常见的用法如下:
跳跳糖
1、使用procdump抓取lsass进程
2、获得LSASS进程内存dump文件
3、用mimikatz解析dump文件
4、获取主机明文密码
