Process-Forest-Window進程日誌分析工具；python版的BloodHound

姿勢

在cmd.exe使用超過256個字元時，可使cmd.exe的緩衝區溢出

ReneFreingruber提出了一個有意思的發現：當在cmd.exe使用超過256個字元時，可以使cmd.exe中的緩衝區溢出，啟用調試模式，如下圖所示：

Twitter鏈接：

https://twitter.com/ReneFreingruber/status/968841345858260993

地址無關代碼重用攻擊（PIROP）

來自荷蘭大牛們的最新研究表明：即使在完全沒有信息公開的情況下，高級攻擊者也可以安裝實際的代碼重用攻擊。 為此，他們提出了地址無關代碼重用攻擊（Position-Independent Code-Reuse Attacks），是一種新的代碼重用攻擊類別，依賴於代碼在內存中的相對位置而非絕對位置。 攻擊者首先讓受害者程序生成一個基本的ROP Payload，之後，通過相對內存寫入以小偏移量進行修補有效負載中的地址。

演示鏈接：

https://www.vusec.net/projects/pirop/

papers鏈接：

http://www.cs.vu.nl/~herbertb/download/papers/pirop_eurosp18.pdf

神器

Process-Forest-Window進程日誌分析工具

Process-Forest用於處理包含進程記錄事件的Microsoft Windows EVTX事件日誌，並重構歷史進程級別。process-forest依賴於在安全事件日誌或Sysmon操作日誌中啟用和捕獲的進程記錄事件，產生新進程時，事件日誌將捕獲進程路徑，用戶名信息，PID和父PID等。通過跟蹤事件pid，該工具會重建事件日誌中捕獲的所有進程之間的關係。

Twitter鏈接：

https://twitter.com/matthewdunwoody/status/969808765301112833

GitHub鏈接：

https://github.com/williballenthin/process-forest

python版的BloodHound

BloodHound.py，是python版的BloodHound。BloodHound採用了原始的PowerPath概念背後的一些關鍵概念，並將這些概念放在一個能運行且直觀，並易於使用的功能中，用於提取和分析數據，可以高效準確地顯示如何提升AD域中的許可權。默認情況下，BloodHound.py將查詢LDAP和域中的單個計算機以枚舉用戶，計算機，組，會話和本地管理員。這python版本還在測試階段，有如下的限制：

目前只有單個域兼容，這包括跨域登錄

只支持默認的BloodHound（SharpHound）功能，所以只支持Groups，Admins和Sessions

名稱，命令行參數和功能將來可能會發生變化

Kerberos支持大多未經測試

該腳本目前是單線程的

Twitter鏈接：

https://twitter.com/_dirkjan/status/968159947233153025

GitHub鏈接：

https://github.com/fox-it/BloodHound.py

資訊

phantomjs不再維護

R.I.P:phantomjs不再進行開發和維護，具體可看github上的公告 ，感覺應該是回不來了，https://github.com/ariya/phantomjs/issues/15344，推薦使用替代者：Puppeteer，一款無頭chorme，用法可以參考github：https://github.com/GoogleChrome/puppeteer

SCLib: 針對Android應用程序中組件劫持的輕量級防禦組件庫

Daoyuan Wu等研究者則提出了針對Android應用程序中組件劫持攻擊的輕量級防禦組件庫SCLib。SCLib是應用層的防禦，以安全組件庫的形式提供給開發者，用於應用程序組件控制。據研究者所說：因代碼寫得較匆忙，暫時未開源

papers連接：

https://daoyuan14.github.io/papers/CODASPY18_SCLib.pdf

歡迎酷愛技術的你來破殼交流。

↓點擊直通破殼

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！