分类目录归档:经验技术

[转]iptables 设置端口转发/映射

https://blog.csdn.net/light_jiang2016/article/details/79029661

网络拓扑

服务器A有两个网卡

内网ip:192.168.1.3

外网ip:10.138.108.103

本地回环:127.0.0.1

服务器B有网卡,8001提供服务

内网ip:192.168.1.1

目的

使用户通过外网10.138.108.103:8001访问内网服务器192.168.1.1:8001 …

发表在 功能配置, 思维启发 | 标签为 | 留下评论

[转]安全漏洞–基于NDAY和0DAY漏洞免杀技巧

https://blog.csdn.net/microzone/article/details/71440685

一 概念简介

        0day中的0表示zero,早期的0day表示在软件发行后的24小时内就出现破解版本,现在我们已经 引申了这个含义,只要是在软件或者其他东西发布后,在最短时间内出现相关破解的,都可以叫 0day。 0day是一个统称,所有的破解都可以叫0day。简而言之,0day就是代表还没有公开的漏 洞,nday就是代表已经公开了的漏洞。漏洞开发者在利用0day和Nday时,除了在逃过windos的自身安全机制的基础上,不可避免的要接触到与杀软对抗的工作,就一般情况来看,如果针对特定的目标杀软还是有很大可能可以绕过,难点是通用所有的杀软。另外值得注意的一点,现今主流杀软很多,在通用的前提下,免杀工作往往占用很多时间。

二 构造POC…

发表在 免杀技术, 思维启发 | 留下评论

常见进程注入的实现及内存dump分析——反射式DLL注入(下)【转】

前言

上一篇帖子常见进程注入的实现及内存dump分析——反射式DLL注入(上)》中,实现了反射式注射器的Dropper,这篇帖子中,将会实现Payload——DLL文件。个人认为,反射式DLL的精髓就在于DLL的反射加载功能。

环境

OS:Windows 10 PRO 1709

发表在 未分类, 经验技术 | 留下评论

常见进程注入的实现及内存dump分析——反射式DLL注入(上)【转】

前言

在上一篇文章《常见进程注入的实现及内存dump分析——经典DLL注入》中,介绍了经典DLL注入,虽然简单,但是是注入的基本原理,在上篇文章中没有提到的是:32位的注入程序要注入32位的进程中,不要试图注入64位进程,这种注入确实是可以实现,但是很麻烦,所以就放到最后去学习。

由于反射式DLL比较复杂,这篇文章只是注射器的实现和分析,源码参考自GitHub,同样,会在文章末尾贴上地址。

反射式DLL我理解就是让DLL自身不使用LoadLibraryA函数,将自身映射到目标进程内存中。

环境

  • OS:Windows 10 PRO 1709

  • IDE:Visual

发表在 未分类, 经验技术 | 留下评论

带360壳分析Umeng协议【转】

*本文原创作者:Skyun1314,本文属FreeBuf原创奖励计划,未经许可禁止转载

为什么要带壳分析umeng协议啊,因为嘬呗。直接打开charles手机设置好代理,过滤掉肯定无关的链接,从手机打开需要抓包的软件,发现只有2条网络请求。

一看就知道是umeng的协议,但是参数加密了,只能反编译看看他是如何加密的。挂起 jadx 打开apk,发现apk 360加固了,没有办法只能脱壳。拿出我的脱壳神机google5儿子(自己编译的android4.4的系统,修改了内核代码,能过掉proc文件状态的反调试)

可是安装的时候提示:

我靠设备版本太低,没关系,反编译修改一下最低sdk版本。

加上-s参数,只反编译资源文件,然后打开apktool.yml这个文件:

把这里修改成19.ok。重打包提示签名被修改,没关系继续安装xposed …

发表在 未分类, 经验技术 | 留下评论

穿透内网防线,USB自动渗透手法总结【转】

USB(Universal Serial Bus)原意是指通用串行总线,是一个外部总线标准,用于规范电脑与外部设备的连接和通讯,这套标准在1994年底由英特尔、康柏、IBM、Microsoft等多家公司联合提出,提出之后经过一个快速的发展成功替代串口和并口等标准,成为一个世界认可的统一标准,被当代的海量设备使用,而我们口中常说的USB其实是指采用USB接口标准的可移动存储介质,那么以下为了叙述方便我们便用USB或U盘指代采用USB接口标准的可移动存储介质来详细介绍常见的三种利用该类型设备的渗透手法。

一、autorun.inf自动播放

在早期的互联网发展中,计算机之间的数据交换受限于网络带宽,因此可移动存储介质(软盘、U盘等)受到人们的追捧,人们也在想方设法使这些设备能够更加方便快捷的帮助人们完成某些数据的转移使用,而自动播放功能就是在这个背景下被工程师们开发出来,原本的自动播放主要是针对CD/DVD多媒体光盘,使这类设备能够实现插入即播放的功能,而针对Windows安装介质,插入就能立即弹出安装程序,在可移动存储介质的根目录下的autorun.inf文件就负责自动播放的功能,如图1所示:

图1 autorun.inf文件示例

相比如插入光盘的操作,USB的可操作性更好,能够在不经意间便安放到指定的设备中去,因此如果这里的autorun.inf文件是存放在USB根目录中,并且在根目录下同样存放一个名为setup.exe的病毒文件,那么将该USB插到指定的设备上便可以自动运行病毒使主机在不知不觉中便被病毒感染。

当然,攻击者能够使用此类方式进行有效的攻击的同时,微软也给出了相对应的解决方案,早在2011年2月8日,微软就提供了名为KB967940的补丁,该补丁限定Windows XP、Windows …

发表在 未分类, 渗透技术 | 留下评论

绕过杀软的新姿势:Process【转】

Process Doppelgnging与Process Hollowing技术类似,不同之处在于前者通过攻击Windows NTFS 运作机制和一个来自Windows进程载入器中的过时的应用。

Process Hollowing是现代恶意软件常用的一种进程创建技术,虽然使用任务管理器之类的工具查看时,这些进程看起来合法,但该进程的代码实际上已被恶意内容替代。

Process Doppelgnging同时利用两种不同的关键功能,以此掩盖已修改可执行文件的加载进程。研究人员使用NTFS事务修改实际上不会写入到磁盘的可执行文件,之后使用未公开的进程加载机制实现详情来加载已修改的可执行文件,但不会在回滚已修改可执行文件前执行该操作,其结果是从已修改的可执行文件创建进程,而杀毒软件的安全机制检测不到。

“Process

发表在 免杀技术, 未分类 | 留下评论

我是如何黑进成人生活网站Pornhub拿到2万美元赏金的【转】

Clipboard Image.png

老司机们对Pornhub也不会陌生了(//∇//)\,此处略去一万字…作者是如何黑进pornhub的呢?这一切都要从那日作者打开pornhub说起…

概要:

笔者获取了pornhub.com的远程执行代码,并且在Hackone上赚取了2万美元的漏洞赏金。

笔者在PHP

发表在 未分类, 经验技术 | 留下评论

用好OnionScan,自己动手制作暗网爬虫【转】

喜大普奔!OnionScan0.2终于发布啦!在新版OnionScan中,最引人注目的一个新功能就是“custom crawls”(自定义爬取)。我们将会通过这篇文章来教会大家如何去使用这个强大的功能。

可能对暗网比较了解的同学都知道OnionScan是个什么东西吧?

OnionScan是一款非常棒的工具,你可以用它来扫描暗网中的隐藏服务,并收集一些潜在的泄漏数据。除此之外,OnionScan也可以帮助你搜索出各种匿名服务的标识,例如比特币钱包地址、PGP密钥、以及电子邮件地址等等。

但是,暗网中的很多服务数据都是以非标准的数据格式发布的,不同的服务很可能使用的是不同的数据格式,这也就使得我们很难用软件工具来对这些数据进行自动化处理。

不过别担心,OnionScan可以帮助我们解决这个难题。OnionScan允许我们自定义各个网站之间的关系,然后我们可以将这些关系导入至OnionScan的关联引擎(Correlation Engine)之中。接下来,系统会像处理其他标识符那样来帮助我们对这些关系进行关联和分类。

接下来,我们以暗网市场Hansa来作为讲解实例。当我们在收集该市场中的数据时,我们首先要收集的往往是市场中处于在售状态的商品名称和商品类别,有时我们可能还需要收集这些商品的供应商信息。实际上,我们可以直接访问产品的/listing页面来获取所有的这些信息。

但是,我们现在要自己动手制作一个暗网爬虫。我们将使用这个爬虫来爬取并导出我们所需的数据,然后再对这些数据进行处理,最后再将其转换成我们可以进行自动化分析的数据格式。在OnionScan0.2的帮助下,我们只需要定义一个简单的配置文件就可以轻松实现这些操作了。相关代码如下所示:

{…

发表在 未分类, 经验技术 | 留下评论

【权威报告】大型挂马团伙“擒狼”攻击分析及溯源报告【转】

第一章 概述


7月13日,360安全卫士检测到一起网站广告位挂马事件,大量网络广告出现集体挂马,广告内容以同城交友等诱惑信息为主,预警为“擒狼”木马攻击。我们通过对整个挂马攻击的分析溯源发现,这个木马主要功能是锁定浏览器的主页并带有远程控制后门,作者通过木马谋取暴利,是一起典型的黑产行为。

该木马通过漏洞执行,安装服务和驱动,通过驱动锁定浏览器主页,服务实现自启动并将自身注入系统进程.连接C&C下载配置和插件,其中一个插件劫持淘宝客的推广ID来实现流量变现,不排除还有其他插件实现静默安装等更多的黑产行为.

在分析过程中我们发现,利用漏洞传播仅仅是该木马的其中一种推广方式,但仅仅是这一种推广方式,在7月13日一天内,360安全卫士就拦截了3万多次攻击.因此,我们有理由相信此木马应该有一个庞大的安装基数和日活量,才能使木马作者维持稳定的盈利,支持其继续开发。

第二章 运行效果


木马执行后,全程静默安装,没有任何提示,重启计算机后,服务和驱动被加载,主页被锁定.

http://p1.qhimg.com/dr/__50/t0100d6a24a6ca182f6.png

 

第三章

发表在 未分类, 经验技术 | 留下评论