Process-Forest-Window進程日誌分析工具;python版的BloodHound
姿勢
在cmd.exe使用超過256個字元時,可使cmd.exe的緩衝區溢出
ReneFreingruber提出了一個有意思的發現:當在cmd.exe使用超過256個字元時,可以使cmd.exe中的緩衝區溢出,啟用調試模式,如下圖所示:
Twitter鏈接:
https://twitter.com/ReneFreingruber/status/968841345858260993
地址無關代碼重用攻擊(PIROP)
來自荷蘭大牛們的最新研究表明:即使在完全沒有信息公開的情況下,高級攻擊者也可以安裝實際的代碼重用攻擊。 為此,他們提出了地址無關代碼重用攻擊(Position-Independent Code-Reuse Attacks),是一種新的代碼重用攻擊類別,依賴於代碼在內存中的相對位置而非絕對位置。 攻擊者首先讓受害者程序生成一個基本的ROP Payload,之後,通過相對內存寫入以小偏移量進行修補有效負載中的地址。
演示鏈接:
https://www.vusec.net/projects/pirop/
papers鏈接:
http://www.cs.vu.nl/~herbertb/download/papers/pirop_eurosp18.pdf
神器
Process-Forest-Window進程日誌分析工具
Process-Forest用於處理包含進程記錄事件的Microsoft Windows EVTX事件日誌,並重構歷史進程級別。process-forest依賴於在安全事件日誌或Sysmon操作日誌中啟用和捕獲的進程記錄事件,產生新進程時,事件日誌將捕獲進程路徑,用戶名信息,PID和父PID等。通過跟蹤事件pid,該工具會重建事件日誌中捕獲的所有進程之間的關係。
Twitter鏈接:
https://twitter.com/matthewdunwoody/status/969808765301112833
GitHub鏈接:
https://github.com/williballenthin/process-forest
python版的BloodHound
BloodHound.py,是python版的BloodHound。BloodHound採用了原始的PowerPath概念背後的一些關鍵概念,並將這些概念放在一個能運行且直觀,並易於使用的功能中,用於提取和分析數據,可以高效準確地顯示如何提升AD域中的許可權。默認情況下,BloodHound.py將查詢LDAP和域中的單個計算機以枚舉用戶,計算機,組,會話和本地管理員。這python版本還在測試階段,有如下的限制:
目前只有單個域兼容,這包括跨域登錄
只支持默認的BloodHound(SharpHound)功能,所以只支持Groups,Admins和Sessions
名稱,命令行參數和功能將來可能會發生變化
Kerberos支持大多未經測試
該腳本目前是單線程的
Twitter鏈接:
https://twitter.com/_dirkjan/status/968159947233153025
GitHub鏈接:
https://github.com/fox-it/BloodHound.py
資訊
phantomjs不再維護
R.I.P:phantomjs不再進行開發和維護,具體可看github上的公告 ,感覺應該是回不來了,https://github.com/ariya/phantomjs/issues/15344,推薦使用替代者:Puppeteer,一款無頭chorme,用法可以參考github:https://github.com/GoogleChrome/puppeteer
SCLib: 針對Android應用程序中組件劫持的輕量級防禦組件庫
Daoyuan Wu等研究者則提出了針對Android應用程序中組件劫持攻擊的輕量級防禦組件庫SCLib。SCLib是應用層的防禦,以安全組件庫的形式提供給開發者,用於應用程序組件控制。據研究者所說:因代碼寫得較匆忙,暫時未開源
papers連接:
https://daoyuan14.github.io/papers/CODASPY18_SCLib.pdf
歡迎酷愛技術的你來破殼交流。
↓點擊直通破殼
※shellcode快捷編寫工具,可針對多種常見系統指令編寫;POT:Twitter釣魚,全自動模仿給好友發釣魚鏈接
TAG:破殼漏洞社區 |